Il malware OpcJacker utilizza una VPN falsa per diffondersi
Dalla seconda metà del 2022, gli esperti di sicurezza informatica hanno identificato una nuova forma di malware che ruba informazioni chiamata OpcJacker. Secondo i ricercatori di Trend Micro, questo malware può eseguire una serie di attività dannose, tra cui il keylogging, l'acquisizione di schermate, il furto di dati sensibili dai browser Web, il caricamento di moduli aggiuntivi e la sostituzione di indirizzi di criptovaluta negli appunti a scopo di dirottamento.
Il malware viene distribuito attraverso una rete di siti Web fasulli che promuovono software apparentemente innocui e applicazioni relative alle criptovalute. La recente campagna, avvenuta nel febbraio 2023, ha preso di mira gli utenti iraniani fingendo di offrire un servizio VPN.
Una volta scaricati, i file di installazione distribuiscono OpcJacker, che può fornire ulteriori payload, come NetSupport RAT e una variante nascosta di virtual network computing (hVNC), per abilitare l'accesso remoto. Il malware utilizza un crypter chiamato Babadeda per nascondersi e può eseguire shellcode ed eseguibili arbitrari.
Durante la campagna del febbraio 2023, i ricercatori hanno scoperto che OpcJacker veniva diffuso attraverso malvertisements specificamente mirati agli utenti in Iran. Questi malvertisement sono stati associati a un sito Web malevolo camuffato per assomigliare a un sito di software VPN legittimo. Il contenuto del sito è stato copiato da un servizio VPN commerciale affidabile, ma i collegamenti sono stati modificati per indirizzare gli utenti a un sito Web corrotto che ospitava contenuti dannosi.
Il sito Web malevolo ha verificato l'indirizzo IP del client per determinare se l'utente stesse utilizzando un servizio VPN. Se l'indirizzo IP non apparteneva a un servizio VPN, il sito Web reindirizzava l'utente a un secondo sito Web danneggiato progettato per invogliarlo a scaricare un file di archivio che conteneva OpcJacker. È importante notare che l'attacco non procederebbe se la vittima utilizzasse un servizio VPN.
In che modo l'infostealing di malware come OpcJacker può compromettere la tua sicurezza digitale?
Infostealing malware come OpcJacker può compromettere la tua sicurezza digitale in diversi modi. In primo luogo, OpcJacker può infiltrarsi nel tuo dispositivo a tua insaputa e senza il tuo consenso, il che significa che può eludere il tuo software antivirus e antimalware. Una volta installato, OpcJacker può eseguire una serie di attività dannose, come keylogging, screenshot e furto di dati dai browser Web, che possono esporre le tue informazioni sensibili, tra cui credenziali di accesso, dettagli della carta di credito e dati personali.
Inoltre, OpcJacker può sostituire gli indirizzi di criptovaluta nei tuoi appunti con i propri, il che significa che se effettui una transazione di criptovaluta, devierà i fondi sul portafoglio dell'attaccante anziché sul portafoglio del destinatario previsto. Ciò può comportare perdite finanziarie significative per te.
Inoltre, OpcJacker può fornire payload aggiuntivi, come NetSupport RAT e hVNC, che possono consentire l'accesso remoto al tuo dispositivo da parte dell'attaccante, consentendo loro di assumere il controllo del tuo dispositivo, rubare più informazioni e persino utilizzare il tuo dispositivo come parte di una botnet effettuare ulteriori attacchi informatici.
Per impedire a malware di furto di informazioni come OpcJacker di compromettere la tua sicurezza digitale, è essenziale mantenere aggiornato il software antivirus e antimalware, evitare di fare clic su collegamenti e allegati sospetti, utilizzare un servizio VPN affidabile ed eseguire regolarmente il backup dei dati per ridurre al minimo l'impatto di un potenziale attacco.