OpcJacker マルウェアが偽の VPN を使用して拡散

2022 年後半以降、サイバーセキュリティの専門家は、OpcJacker と呼ばれる情報を盗む新しい形のマルウェアを特定しました。トレンド マイクロの研究者によると、このマルウェアは、キーロギング、スクリーンショットの取得、Web ブラウザからの機密データの窃取、追加モジュールのロード、ハイジャックを目的としたクリップボード内の暗号通貨アドレスの置き換えなど、さまざまな悪意のあるアクティビティを実行できます。

このマルウェアは、一見無害に見えるソフトウェアや暗号通貨関連のアプリケーションを宣伝する偽の Web サイトのネットワークを通じて配布されます。 2023 年 2 月に発生した最近のキャンペーンは、VPN サービスを提供するふりをしてイランのユーザーを標的にしていました。

ダウンロードが完了すると、インストーラー ファイルによって OpcJacker がデプロイされ、NetSupport RAT や非表示の仮想ネットワーク コンピューティング (hVNC) バリアントなどの追加のペイロードを配信して、リモート アクセスを有効にすることができます。このマルウェアは、Babadeda と呼ばれるクリプターを使用して自身を隠し、任意のシェルコードと実行可能ファイルを実行できます。

2023 年 2 月のキャンペーン中に、研究者は、OpcJacker が特にイランのユーザーを対象としたマルバタイジングを通じて拡散されていることを発見しました。これらの不正広告は、正規の VPN ソフトウェア サイトに似せた悪意のある Web サイトに関連付けられていました。サイトのコンテンツは評判の良い商用 VPN サービスからコピーされたものですが、リンクは改ざんされており、悪意のあるコンテンツをホストする破損した Web サイトにユーザーを誘導していました。

悪意のある Web サイトは、クライアントの IP アドレスをチェックして、ユーザーが VPN サービスを使用しているかどうかを判断しました。 IP アドレスが VPN サービスに属していない場合、Web サイトはユーザーを、OpcJacker を含むアーカイブ ファイルをダウンロードするように誘導するように設計された 2 番目の破損した Web サイトにリダイレクトしました。被害者が VPN サービスを利用していた場合、攻撃は進行しないことに注意することが重要です。

OpcJacker のような情報盗用マルウェアはどのようにデジタル セキュリティを侵害するのでしょうか?

OpcJacker のようなインフォスティーリング マルウェアは、いくつかの方法でデジタル セキュリティを危険にさらす可能性があります。まず、OpcJacker は、ユーザーの知らないうちに同意なしにデバイスに侵入する可能性があります。つまり、ウイルス対策およびマルウェア対策ソフトウェアを回避できます。インストールされると、OpcJacker は、キーロギング、スクリーンショット、Web ブラウザーからのデータ盗難など、さまざまな悪意のあるアクティビティを実行できます。これにより、ログイン資格情報、クレジット カードの詳細、個人データなどの機密情報が公開される可能性があります。

さらに、OpcJacker はクリップボード内の暗号通貨アドレスを独自のものに置き換えることができます。つまり、暗号通貨取引を行うと、目的の受信者のウォレットではなく、攻撃者のウォレットに資金が転送されます。これにより、重大な経済的損失が生じる可能性があります。

さらに、OpcJacker は NetSupport RAT や hVNC などの追加のペイロードを配信できます。これにより、攻撃者によるデバイスへのリモート アクセスが可能になり、デバイスを制御したり、より多くの情報を盗んだり、デバイスをボットネットの一部として使用したりすることさえ可能になります。更なるサイバー攻撃を実行する。

OpcJacker のような情報盗用マルウェアがデジタル セキュリティを侵害するのを防ぐには、ウイルス対策およびマルウェア対策ソフトウェアを最新の状態に保ち、疑わしいリンクや添付ファイルをクリックしないようにし、信頼できる VPN サービスを使用し、データを定期的にバックアップすることが不可欠です。潜在的な攻撃の影響を最小限に抑えます。