Złośliwe oprogramowanie OpcJacker wykorzystuje fałszywą sieć VPN do rozprzestrzeniania się
Od drugiej połowy 2022 roku eksperci ds. cyberbezpieczeństwa zidentyfikowali nową formę złośliwego oprogramowania, które kradnie informacje, o nazwie OpcJacker. Według badaczy z Trend Micro, to złośliwe oprogramowanie może wykonywać różne złośliwe działania, w tym rejestrowanie klawiszy, robienie zrzutów ekranu, kradzież poufnych danych z przeglądarek internetowych, ładowanie dodatkowych modułów i zastępowanie adresów kryptowalut w schowku w celu przejęcia kontroli.
Szkodliwe oprogramowanie jest dystrybuowane za pośrednictwem sieci fałszywych stron internetowych, które promują pozornie nieszkodliwe oprogramowanie i aplikacje związane z kryptowalutami. Ostatnia kampania, która miała miejsce w lutym 2023 r., była skierowana do użytkowników z Iranu, udając, że oferuje usługę VPN.
Po pobraniu pliki instalatora wdrażają OpcJacker, który może dostarczać dodatkowe ładunki, takie jak NetSupport RAT i wariant ukrytej wirtualnej sieci obliczeniowej (hVNC), aby umożliwić zdalny dostęp. Złośliwe oprogramowanie wykorzystuje program szyfrujący o nazwie Babadeda do ukrywania się i może uruchamiać dowolny kod powłoki i pliki wykonywalne.
Podczas kampanii w lutym 2023 r. badacze odkryli, że OpcJacker był rozpowszechniany za pośrednictwem złośliwych reklam skierowanych konkretnie do użytkowników w Iranie. Te złośliwe reklamy były powiązane ze złowrogą witryną internetową, która miała przypominać legalną witrynę z oprogramowaniem VPN. Zawartość witryny została skopiowana z renomowanej komercyjnej usługi VPN, ale linki zostały zmienione, aby kierować użytkowników do uszkodzonej witryny zawierającej złośliwą zawartość.
Złowroga witryna sprawdzała adres IP klienta, aby ustalić, czy użytkownik korzysta z usługi VPN. Jeśli adres IP nie należał do usługi VPN, strona internetowa przekierowywała użytkownika do drugiej uszkodzonej strony internetowej, której celem było nakłonienie go do pobrania pliku archiwum zawierającego OpcJacker. Należy zauważyć, że atak nie byłby kontynuowany, gdyby ofiara korzystała z usługi VPN.
W jaki sposób złośliwe oprogramowanie wykradające informacje, takie jak OpcJacker, może zagrozić Twojemu bezpieczeństwu cyfrowemu?
Złośliwe oprogramowanie wykradające informacje, takie jak OpcJacker, może zagrozić Twojemu bezpieczeństwu cyfrowemu na kilka sposobów. Po pierwsze, OpcJacker może przeniknąć do twojego urządzenia bez twojej wiedzy i zgody, co oznacza, że może ominąć twoje oprogramowanie antywirusowe i anty-malware. Po zainstalowaniu OpcJacker może wykonywać szereg złośliwych działań, takich jak rejestrowanie klawiszy, wykonywanie zrzutów ekranu i kradzież danych z przeglądarek internetowych, co może ujawnić poufne informacje, w tym dane logowania, dane karty kredytowej i dane osobowe.
Co więcej, OpcJacker może zastąpić adresy kryptowalut w twoim schowku własnymi, co oznacza, że jeśli dokonasz transakcji kryptowalutowej, środki zostaną przekierowane do portfela atakującego zamiast do portfela zamierzonego odbiorcy. Może to spowodować dla Ciebie znaczne straty finansowe.
Co więcej, OpcJacker może dostarczać dodatkowe ładunki, takie jak NetSupport RAT i hVNC, które umożliwiają atakującemu zdalny dostęp do urządzenia, pozwalając mu przejąć kontrolę nad urządzeniem, wykraść więcej informacji, a nawet użyć urządzenia jako części botnetu do dalszych cyberataków.
Aby zapobiec naruszeniu bezpieczeństwa cyfrowego przez złośliwe oprogramowanie kradnące informacje, takie jak OpcJacker, konieczne jest aktualizowanie oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, unikanie klikania podejrzanych łączy i załączników, korzystanie z renomowanej usługi VPN i regularne tworzenie kopii zapasowych danych aby zminimalizować skutki potencjalnego ataku.
