کاربران VPNهای جعلی، هدف بدافزار OpcJacker

بدافزار سارق اطلاعات جدیدی به‌نام OpcJacker از نیمه‌ی دوم ۲۰۲۲ مشاهده شده است که بخشی از یک کمپین تبلیغ بدافزار است. به‌گفته‌ی محققان Trend Micro، جارومیر هوریسی و جوزف سی. چن، کارکردهای اصلی OpcJacker شامل Keylogging، گرفتن اسکرین‌شات، سرقت داده‌های حساس از مرورگرها، بارگذاری ماژول‌های اضافی و جایگزینی آدرس‌های رمزارزها در Clipboard با هدف سرقت است.

مسیر ابتدایی این کمپین شامل شبکه‌ای از وبسایت‌های جعلی بود که نرم‌افزارها و برنامه‌های کاربردی به‌ظاهر بی‌خطر مربوط به رمزارز را تبلیغ می‌کردند. کمپین فوریه ۲۰۲۳ با تظاهر به ارائه‌ی خدمات VPN، تمرکز ویژه‌ای بر کاربران ایرانی داشت.

فایل نصبی به‌عنوان مجرایی برای پیاده‌سازی OpcJacker عمل می‌کند که قادر به توزیع Payloadهای مرحله بعدی مانند NetSupportRAT و یک گونه‌ی شبکه‌ی رایانشی مجازی مخفی (hidden Virtual Network Computing (hVNS))  برای دسترسی از راه دور نیز هست.

OpcJacker با استفاده از رمزنگاری به‌نام Babadeda، مخفی شده و از یک فایل پیکربندی برای فعال‌سازی کارکرد گردآوری داده استفاده می‌کند؛ همچنین می‌تواند Shellcode و فایل‌های اجرایی دلخواه را اجرا کند.

همزمان با این یافته‌ها، Securonix جزئیات کمپین حمله‌ی ادامه‌داری با عنوان TACTICAL#OCTOPUS منتشر کرده است که تشکیلات آمریکایی را با طعمه‌های مربوط به مالیات هدف قرار می‌دهد تا آن‌ها را آلوده به Backdoorهایی جهت دسترسی به سیستم‌های قربانی و به‌دست آوردن داده‌های Clipboard و ضربه کلیدها کند.

در رویدادی دیگر، کاربران ایتالیایی و فرانسوی که نسخه‌های کرک‌شده‌ی نرم‌افزارهای نگهداری PC مانند EaseUS Partition Master و Driver Easy Pro را روی یوتیوب جستجو می‌کنند به صفحاتی روی Blogger هدایت می‌شوند که NullMixer dropper توزیع می‌کند.

NullMixer به جهت جایگذاری همزمان انواع مختلفی از بدافزارهای تولید انبوه مانند PseudoManuscrypt، Raccoon Stealer، GCIeaner، Fabookie و بارگذار بدافزار جدیدی با عنوان Crashtech Loader که منجر به آلودگی گسترده می‌شوند نیز جلب توجه می‌کند.

به گفته‌ی Trend Micro « فرمت فایل پیکربندی مشابه یک کد بایتی است که به یک زبان ماشینی سفارشی نوشته شده باشد که در آن هر دستورالعمل مجزا شده، رمزعمل‌های منفرد به دست می‌آیند، و سپس گرداننده‌ی (Handler) خاص اجرا می‌شود».

باتوجه به توانایی بدافزار در سرقت وجوه رمزی از کیف پول‌ها، تصور می‌شود این کمپین‌ها انگیزه‌ای مالی دارند. با این وجود، تطبیق‌پذیری OpcJacker باعث می‌شود بارکننده‌ی بدافزار ایده‌آلی باشد.