Ngày 03 tháng 4 năm 2023Ravie LakshmananHoa Kỳ
Một phần mềm độc hại đánh cắp thông tin mới được gọi là OpcJacker đã được phát hiện ngoài tự nhiên kể từ nửa cuối năm 2022 như một phần của chiến dịch quảng cáo độc hại.
“Các chức năng chính của OpcJacker bao gồm ghi nhật ký bàn phím, chụp ảnh màn hình, đánh cắp dữ liệu nhạy cảm từ trình duyệt, tải các mô-đun bổ sung và thay thế địa chỉ tiền điện tử trong khay nhớ tạm cho mục đích chiếm quyền điều khiển”, Jaromir Horejsi và Joseph C. Chen, các nhà nghiên cứu của Trend Micro cho biết.
Vectơ ban đầu của chiến dịch liên quan đến một mạng lưới các trang web giả mạo quảng cáo phần mềm dường như vô hại và các ứng dụng liên quan đến tiền điện tử. Chiến dịch tháng 2 năm 2023 đã đặc biệt chọn ra những người dùng ở Iran với lý do cung cấp dịch vụ VPN.
Các tệp trình cài đặt hoạt động như một đường dẫn để triển khai OpcJacker, phần mềm này cũng có khả năng cung cấp các tải trọng ở giai đoạn tiếp theo như NetSupport RAT và một biến thể điện toán mạng ảo (hVNC) ẩn để truy cập từ xa.
OpcJacker được che giấu bằng cách sử dụng một công cụ giải mã được gọi là Babadeda và sử dụng tệp cấu hình để kích hoạt các chức năng thu thập dữ liệu của nó. Nó cũng có thể chạy shellcode và các tệp thực thi tùy ý.
Trend Micro cho biết: “Định dạng tệp cấu hình giống như một mã byte được viết bằng ngôn ngữ máy tùy chỉnh, trong đó mỗi lệnh được phân tích cú pháp, các mã hành động riêng lẻ được thu thập và sau đó trình xử lý cụ thể được thực thi”.
Do phần mềm độc hại có khả năng đánh cắp tiền điện tử từ ví, các chiến dịch bị nghi ngờ là có động cơ tài chính. Điều đó nói rằng, tính linh hoạt của OpcJacker cũng làm cho nó trở thành một trình tải phần mềm độc hại lý tưởng.
Phát hiện này được đưa ra khi Securonix tiết lộ chi tiết về một chiến dịch tấn công đang diễn ra có tên là TACTICAL#OCTOPUS nhằm vào các thực thể Hoa Kỳ bằng mồi nhử có chủ đề về thuế để lây nhiễm cho họ bằng các cửa hậu nhằm giành quyền truy cập vào hệ thống nạn nhân cũng như thu thập dữ liệu bảng tạm và tổ hợp phím.
Trong một diễn biến liên quan, người dùng Ý và Pháp đang tìm kiếm các phiên bản bẻ khóa của phần mềm bảo trì PC như EaseUS Partition Master và Driver Easy Pro trên YouTube đang được chuyển hướng đến các trang Blogger phân phối trình nhỏ giọt NullMixer.
NullMixer cũng nổi bật với việc loại bỏ đồng thời nhiều loại phần mềm độc hại có sẵn, bao gồm PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie và một trình tải phần mềm độc hại mới được gọi là Crashtech Loader, dẫn đến lây nhiễm quy mô lớn.
