Um novo malware de roubo de informações chamado OpcJacker foi detectado em circulação desde a segunda metade de 2022 como parte de uma campanha maliciosa de publicidade.
"As principais funções do OpcJacker incluem keylogging, tirar screenshots, roubar dados sensíveis dos navegadores, carregar módulos adicionais e substituir endereços de criptomoedas na área de transferência para fins de sequestro", disseram os pesquisadores da Trend Micro, Jaromir Horejsi e Joseph C. Chen.
O vetor inicial da campanha envolve uma rede de sites falsos que anunciam softwares aparentemente inofensivos e aplicativos relacionados a criptomoedas.
A campanha de fevereiro de 2023 direcionou especificamente usuários do Irã sob o pretexto de oferecer um serviço VPN.
Os arquivos de instalação atuam como um condutor para implantar o OpcJacker, que também é capaz de entregar payloads de próxima etapa, como NetSupport RAT e uma variante oculta de virtual network computing (hVNC) para acesso remoto.
O OpcJacker é oculto usando um criptografador conhecido como Babadeda e usa um arquivo de configuração para ativar suas funções de coleta de dados.
Ele também pode executar shellcodes e executáveis arbitrários.
"O formato do arquivo de configuração se assemelha a um bytecode escrito em uma linguagem de máquina personalizada, onde cada instrução é analisada, opcodes individuais são obtidos e, em seguida, o manipulador específico é executado", disse a Trend Micro.
Dada a capacidade do malware de roubar fundos de criptomoedas de carteiras, suspeita-se que as campanhas sejam motivadas financeiramente.
Dito isso, a versatilidade do OpcJacker também o torna um carregador de malware ideal.
As descobertas surgem enquanto a Securonix revelou detalhes de uma campanha contínua de ataque denominada TACTICAL#OCTOPUS, que tem como alvo entidades dos EUA com iscas temáticas de impostos para infectá-las com backdoors para ganhar acesso aos sistemas das vítimas, bem como capturar dados da área de transferência e teclas digitadas.
Em um desenvolvimento relacionado, usuários italianos e franceses que procuram versões quebradas de softwares de manutenção de PC, como EaseUS Partition Master e Driver Easy Pro no YouTube, estão sendo redirecionados para páginas do Blogger que distribuem o dropper NullMixer.
O NullMixer também se destaca por deixar cair uma grande variedade de malwares prontos para uso, incluindo PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie e um novo carregador de malware referido como Crashtech Loader, levando a infecções em larga escala.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...