بدافزار سارق اطلاعات جدیدی بهنام OpcJacker از نیمهی دوم ۲۰۲۲ مشاهده شده است که بخشی از یک کمپین تبلیغ بدافزار است. بهگفتهی محققان Trend Micro، جارومیر هوریسی و جوزف سی. چن، کارکردهای اصلی OpcJacker شامل Keylogging، گرفتن اسکرینشات، سرقت دادههای حساس از مرورگرها، بارگذاری ماژولهای اضافی و جایگزینی آدرسهای رمزارزها در Clipboard با هدف سرقت است.
مسیر ابتدایی این کمپین شامل شبکهای از وبسایتهای جعلی بود که نرمافزارها و برنامههای کاربردی بهظاهر بیخطر مربوط به رمزارز را تبلیغ میکردند. کمپین فوریه ۲۰۲۳ با تظاهر به ارائهی خدمات VPN، تمرکز ویژهای بر کاربران ایرانی داشت.
فایل نصبی بهعنوان مجرایی برای پیادهسازی OpcJacker عمل میکند که قادر به توزیع Payloadهای مرحله بعدی مانند NetSupportRAT و یک گونهی شبکهی رایانشی مجازی مخفی (hidden Virtual Network Computing (hVNS)) برای دسترسی از راه دور نیز هست.
OpcJacker با استفاده از رمزنگاری بهنام Babadeda، مخفی شده و از یک فایل پیکربندی برای فعالسازی کارکرد گردآوری داده استفاده میکند؛ همچنین میتواند Shellcode و فایلهای اجرایی دلخواه را اجرا کند.
همزمان با این یافتهها، Securonix جزئیات کمپین حملهی ادامهداری با عنوان TACTICAL#OCTOPUS منتشر کرده است که تشکیلات آمریکایی را با طعمههای مربوط به مالیات هدف قرار میدهد تا آنها را آلوده به Backdoorهایی جهت دسترسی به سیستمهای قربانی و بهدست آوردن دادههای Clipboard و ضربه کلیدها کند.
در رویدادی دیگر، کاربران ایتالیایی و فرانسوی که نسخههای کرکشدهی نرمافزارهای نگهداری PC مانند EaseUS Partition Master و Driver Easy Pro را روی یوتیوب جستجو میکنند به صفحاتی روی Blogger هدایت میشوند که NullMixer dropper توزیع میکند.
NullMixer به جهت جایگذاری همزمان انواع مختلفی از بدافزارهای تولید انبوه مانند PseudoManuscrypt، Raccoon Stealer، GCIeaner، Fabookie و بارگذار بدافزار جدیدی با عنوان Crashtech Loader که منجر به آلودگی گسترده میشوند نیز جلب توجه میکند.
به گفتهی Trend Micro « فرمت فایل پیکربندی مشابه یک کد بایتی است که به یک زبان ماشینی سفارشی نوشته شده باشد که در آن هر دستورالعمل مجزا شده، رمزعملهای منفرد به دست میآیند، و سپس گردانندهی (Handler) خاص اجرا میشود».
باتوجه به توانایی بدافزار در سرقت وجوه رمزی از کیف پولها، تصور میشود این کمپینها انگیزهای مالی دارند. با این وجود، تطبیقپذیری OpcJacker باعث میشود بارکنندهی بدافزار ایدهآلی باشد.