OpcJacker-malware gebruikt nep-VPN om zich te verspreiden
Sinds de tweede helft van 2022 hebben cyberbeveiligingsexperts een nieuwe vorm van malware geïdentificeerd die informatie steelt, genaamd OpcJacker. Volgens onderzoekers van Trend Micro kan deze malware allerlei kwaadaardige activiteiten uitvoeren, waaronder keylogging, het maken van schermafbeeldingen, het stelen van gevoelige gegevens uit webbrowsers, het laden van extra modules en het vervangen van cryptocurrency-adressen in het klembord met als doel kaping.
De malware wordt verspreid via een netwerk van nepwebsites die ogenschijnlijk onschuldige software en cryptocurrency-gerelateerde applicaties promoten. De recente campagne, die plaatsvond in februari 2023, richtte zich op Iraanse gebruikers door te doen alsof ze een VPN-service aanboden.
Eenmaal gedownload, zetten de installatiebestanden OpcJacker in, dat verdere payloads kan leveren, zoals NetSupport RAT en een verborgen virtual network computing (hVNC)-variant, om toegang op afstand mogelijk te maken. De malware gebruikt een crypter genaamd Babadeda om zichzelf te verbergen en kan willekeurige shellcode en uitvoerbare bestanden uitvoeren.
Tijdens de campagne van februari 2023 ontdekten onderzoekers dat OpcJacker werd verspreid via malvertisements die specifiek gericht waren op gebruikers in Iran. Deze malvertisements werden in verband gebracht met een kwaadwillende website die was vermomd om op een legitieme VPN-softwaresite te lijken. De inhoud van de site is gekopieerd van een gerenommeerde commerciële VPN-service, maar de links zijn gewijzigd om gebruikers naar een corrupte website te leiden die kwaadaardige inhoud host.
De kwaadwillende website controleerde het IP-adres van de client om te bepalen of de gebruiker een VPN-service gebruikte. Als het IP-adres niet bij een VPN-service hoorde, leidde de website de gebruiker vervolgens om naar een tweede corrupte website die was ontworpen om hen te verleiden tot het downloaden van een archiefbestand dat OpcJacker bevatte. Het is belangrijk op te merken dat de aanval niet zou doorgaan als het slachtoffer een VPN-service zou gebruiken.
Hoe kan het stelen van malware zoals OpcJacker uw digitale veiligheid in gevaar brengen?
Het stelen van malware zoals OpcJacker kan uw digitale veiligheid op verschillende manieren in gevaar brengen. Ten eerste kan OpcJacker uw apparaat infiltreren zonder uw medeweten en toestemming, wat betekent dat het uw antivirus- en antimalwaresoftware kan omzeilen. Eenmaal geïnstalleerd, kan OpcJacker een reeks kwaadaardige activiteiten uitvoeren, zoals keylogging, screenshots en gegevensdiefstal uit uw webbrowsers, waardoor uw gevoelige informatie, waaronder inloggegevens, creditcardgegevens en persoonlijke gegevens, kunnen worden onthuld.
Bovendien kan OpcJacker cryptocurrency-adressen in uw klembord vervangen door zijn eigen adressen, wat betekent dat als u een cryptocurrency-transactie uitvoert, het geld wordt omgeleid naar de portemonnee van de aanvaller in plaats van naar de portemonnee van de beoogde ontvanger. Dit kan voor u aanzienlijke financiële verliezen tot gevolg hebben.
Bovendien kan OpcJacker extra payloads leveren, zoals NetSupport RAT en hVNC, die externe toegang tot uw apparaat mogelijk maken voor de aanvaller, waardoor ze de controle over uw apparaat kunnen overnemen, meer informatie kunnen stelen en zelfs uw apparaat kunnen gebruiken als onderdeel van een botnet om verdere cyberaanvallen uit te voeren.
Om te voorkomen dat malware die informatie steelt, zoals OpcJacker, uw digitale veiligheid in gevaar brengt, is het essentieel om uw antivirus- en antimalwaresoftware up-to-date te houden, te voorkomen dat u op verdachte links en bijlagen klikt, een gerenommeerde VPN-service te gebruiken en regelmatig een back-up van uw gegevens te maken om de impact van een mogelijke aanval te minimaliseren.
