Sommario
Il malware OpcJacker, specializzato nel furto di informazioni, è stato scoperto nella seconda metà del 2022 come parte di una campagna di malvertising. Le sue principali funzioni includono il keylogging, la cattura di screenshot, il furto di dati sensibili dai browser e la sostituzione degli indirizzi di criptovalute negli appunti per scopi di dirottamento.
Campagna di malvertising e distribuzione del malware
La campagna iniziale coinvolge una rete di siti web fasulli che pubblicizzano software apparentemente innocui e applicazioni legate alle criptovalute. Nel febbraio 2023, la campagna ha preso di mira specificamente gli utenti iraniani, offrendo un servizio VPN fasullo. I file di installazione fungono da mezzo per distribuire OpcJacker, che è in grado di consegnare payload successivi, come NetSupport RAT e una variante di hVNC (hidden virtual network computing) per l’accesso remoto.
Funzionamento e obiettivi di OpcJacker
OpcJacker è nascosto tramite un crittografatore chiamato Babadeda e utilizza un file di configurazione per attivare le sue funzioni di raccolta dati. Può anche eseguire shellcode arbitrari ed eseguibili. La capacità del malware di rubare fondi criptati dai portafogli fa sospettare che le campagne siano motivate finanziariamente. Tuttavia, la versatilità di OpcJacker lo rende anche un loader di malware ideale.
Altre campagne di attacco correlate
Le scoperte di OpcJacker si verificano mentre Securonix rivela i dettagli di una campagna di attacco in corso chiamata TACTICAL#OCTOPUS, che prende di mira le entità statunitensi con esche a tema fiscale per infettarle con backdoor e ottenere l’accesso ai sistemi delle vittime, oltre a catturare dati negli appunti e digitazioni. Inoltre, gli utenti italiani e francesi che cercano versioni crack di software di manutenzione per PC, come EaseUS Partition Master e Driver Easy Pro su YouTube, vengono reindirizzati a pagine Blogger che distribuiscono il dropper NullMixer.
