Исследователи Trend Micro обнаружили малварь под названием Opc | SecAtor

Исследователи Trend Micro обнаружили малварь под названием Opcjacker, которая распространялась в дикой природе, по крайней мере, с середины 2022 года, используя рекламные кампании, замаскированные под криптовалютные приложения и другие легитимные ПО на поддельных веб-сайтах.

В своей последней кампании в феврале 2023 года, вредоносное ПО распространялось среди пользователей Ирана с помощью таргетированной рекламы якобы VPN-приложения.

Как считают эксперты, OpcJacker достаточно интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения злоумышленника.

В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в файле конфигурации, заставляют похитителя запускать нужные функции. Вероятно, это сделано для того, чтобы запутать исследователей, работающих над анализом вредоносного ПО.

Основные функции OpcJacker включают в себя кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена.

Малварь загружается путем исправления легитимной библиотеки DLL внутри установленной программы, которая затем загружает другую вредоносную библиотеку DLL, посредством которой запускается шелл-код, содержащий загрузчик и инсталятор другого вредоносного приложения в дополнение к Opcjacker.

Причем этот вредонос собирается из фрагментов данных, хранящихся в нескольких файлах разных форматов, таких как WAV и CHM.

Загрузчик используется уже более года и называется Babadeda crypter, но злоумышленник, стоящий за Opcjacker, внес некоторые некоторые изменения в cryptor и добавил совершенно новой пейлоад.

Специалисты отметили, что OpcJacker в основном запускает дополнительные модули, такие как NetSupport RAT или скрытый вариант VNC. В некоторых случаях другой загрузчик под названием Phobos Cryptor, который используется для доставки ransomware Phobos.

Основная цель вредоносного ПО пока неизвестна, но его возможности по краже криптовалют указывают на то, что за ним стоит финансово мотивированный злоумышленник.

Тем не менее, дополнительные функции вредоносного ПО позволяют использовать его в качестве средства для кражи информации и загрузки других вредоносных ПО.

В Trend Micro отметили, что Opcjacker все еще находится в стадии активной разработки и в скором времени планируется более широкое распространение в других вредоносных кампаниях.