OpcJacker 恶意软件使用虚假 VPN 进行传播

自 2022 年下半年以来，网络安全专家发现了一种名为 OpcJacker 的窃取信息的新型恶意软件。据趋势科技的研究人员称，该恶意软件可以执行多种恶意活动，包括键盘记录、截屏、从网络浏览器窃取敏感数据、加载其他模块以及替换剪贴板中的加密货币地址以进行劫持。

该恶意软件通过虚假网站网络传播，这些虚假网站宣传看似无害的软件和与加密货币相关的应用程序。最近的活动发生在 2023 年 2 月，通过假装提供 VPN 服务来针对伊朗用户。

下载后，安装程序文件会部署 OpcJacker，它可以提供更多有效负载，例如 NetSupport RAT 和隐藏的虚拟网络计算 (hVNC) 变体，以启用远程访问。该恶意软件使用名为 Babadeda 的加密器来隐藏自身，并可以运行任意 shellcode 和可执行文件。

在 2023 年 2 月的攻击活动中，研究人员发现 OpcJacker 正在通过专门针对伊朗用户的恶意广告进行传播。这些恶意广告与伪装成类似于合法 VPN 软件站点的恶意网站相关联。该站点的内容是从一家信誉良好的商业 VPN 服务复制而来的，但链接被更改为将用户引导至一个托管恶意内容的损坏网站。

恶意网站检查客户端的 IP 地址以确定用户是否使用 VPN 服务。如果 IP 地址不属于 VPN 服务，该网站会将用户重定向到第二个损坏的网站，旨在诱使他们下载包含 OpcJacker 的存档文件。重要的是要注意，如果受害者使用 VPN 服务，攻击将不会继续。

OpcJacker 等信息窃取恶意软件如何危害您的数字安全？

像 OpcJacker 这样的信息窃取恶意软件可以通过多种方式危及您的数字安全。首先，OpcJacker 可以在您不知情和未同意的情况下渗入您的设备，这意味着它可以逃避您的防病毒和反恶意软件。安装后，OpcJacker 可以执行一系列恶意活动，例如键盘记录、屏幕截图和从您的 Web 浏览器窃取数据，这可能会暴露您的敏感信息，包括登录凭据、信用卡详细信息和个人数据。

此外，OpcJacker 可以用它自己的剪贴板替换加密货币地址，这意味着如果你进行加密货币交易，它会将资金转移到攻击者的钱包而不是目标接收者的钱包。这可能会给您带来重大的经济损失。

此外，OpcJacker 可以提供额外的有效负载，例如 NetSupport RAT 和 hVNC，这可以让攻击者远程访问您的设备，从而控制您的设备，窃取更多信息，甚至将您的设备用作僵尸网络的一部分进行进一步的网络攻击。

为防止像 OpcJacker 这样的信息窃取恶意软件危害您的数字安全，必须让您的防病毒和反恶意软件保持最新状态，避免点击可疑链接和附件，使用信誉良好的 VPN 服务，并定期备份您的数据以尽量减少潜在攻击的影响。