Malware OpcJacker usa VPN falsa para se espalhar
Desde o segundo semestre de 2022, especialistas em segurança cibernética identificaram uma nova forma de malware que rouba informações chamada OpcJacker. De acordo com pesquisadores da Trend Micro, esse malware pode executar uma variedade de atividades maliciosas, incluindo keylogging, captura de tela, roubo de dados confidenciais de navegadores da Web, carregamento de módulos adicionais e substituição de endereços de criptomoeda na área de transferência para fins de sequestro.
O malware é distribuído por meio de uma rede de sites falsos que promovem softwares aparentemente inofensivos e aplicativos relacionados a criptomoedas. A campanha recente, que ocorreu em fevereiro de 2023, teve como alvo usuários iranianos fingindo oferecer um serviço VPN.
Depois de baixados, os arquivos do instalador implementam o OpcJacker, que pode fornecer mais cargas úteis, como NetSupport RAT e uma variante de computação de rede virtual oculta (hVNC), para permitir o acesso remoto. O malware usa um criptografador chamado Babadeda para se esconder e pode executar shellcodes e executáveis arbitrários.
Durante a campanha de fevereiro de 2023, os pesquisadores descobriram que o OpcJacker estava sendo disseminado por meio de anúncios mal-intencionados direcionados especificamente a usuários no Irã. Esses anúncios maliciosos foram associados a um site malévolo disfarçado para se parecer com um site de software VPN legítimo. O conteúdo do site foi copiado de um serviço VPN comercial respeitável, mas os links foram alterados para direcionar os usuários a um site corrompido que hospedava conteúdo malicioso.
O site malévolo verificou o endereço IP do cliente para determinar se o usuário estava usando um serviço VPN. Se o endereço IP não pertencesse a um serviço VPN, o site redirecionava o usuário para um segundo site corrompido, projetado para convencê-lo a baixar um arquivo compactado que continha o OpcJacker. É importante observar que o ataque não prosseguiria se a vítima estivesse utilizando um serviço VPN.
Como o malware de roubo de informações, como o OpcJacker, pode comprometer sua segurança digital?
O malware de roubo de informações como o OpcJacker pode comprometer sua segurança digital de várias maneiras. Em primeiro lugar, o OpcJacker pode se infiltrar no seu dispositivo sem o seu conhecimento e consentimento, o que significa que ele pode escapar do seu software antivírus e antimalware. Uma vez instalado, o OpcJacker pode realizar uma série de atividades maliciosas, como keylogging, captura de tela e roubo de dados de seus navegadores da web, que podem expor suas informações confidenciais, incluindo credenciais de login, detalhes de cartão de crédito e dados pessoais.
Além disso, o OpcJacker pode substituir os endereços de criptomoeda em sua área de transferência pelos seus próprios, o que significa que, se você fizer uma transação de criptomoeda, ele desviará os fundos para a carteira do invasor em vez da carteira do destinatário pretendido. Isso pode resultar em perdas financeiras significativas para você.
Além disso, o OpcJacker pode fornecer cargas úteis adicionais, como NetSupport RAT e hVNC, que podem permitir acesso remoto ao seu dispositivo pelo invasor, permitindo que ele assuma o controle de seu dispositivo, roube mais informações e até mesmo use seu dispositivo como parte de um botnet para realizar novos ataques cibernéticos.
Para evitar que malware de roubo de informações como o OpcJacker comprometa sua segurança digital, é essencial manter seu software antivírus e antimalware atualizado, evitar clicar em links e anexos suspeitos, usar um serviço VPN respeitável e fazer backup regularmente de seus dados para minimizar o impacto de um ataque em potencial.
