加密窃取OpcJacker恶意软件利用假VPN服务瞄准用户

声明：该文章由作者（苏建国）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

一种新的信息窃取恶意软件 操作杰克自2022年下半年以来，作为恶意广告活动的一部分，在野外被发现。

“OpcJacker的主要功能包括键盘记录，截图，从浏览器中窃取敏感数据，加载额外的模块，以及出于劫持目的替换剪贴板中的加密货币地址，”趋势科技研究员Jaromir Horejsi和Joseph C。陈某 说。

该活动的最初载体涉及一个虚假网站网络，这些网站广告看似无害的软件和加密货币相关应用程序。2023年2月的活动以提供VPN服务为借口，专门针对伊朗的用户。

安装程序文件充当部署OpcJacker的管道，OpcJacker还能够提供下一阶段的有效负载，例如NetSupport RAT和用于远程访问的隐藏虚拟网络计算（hVNC）变体。

OpcJacker使用 隐窝它被称为Babadeda，并利用配置文件来激活其数据收集功能。它还可以运行任意的shellcode和可执行文件。

“配置文件格式类似于用自定义机器语言编写的字节码，其中每个指令都被解析，获得单独的操作码，然后执行特定的处理程序，”趋势科技说。

鉴于恶意软件能够从钱包中窃取加密货币资金，这些活动被怀疑是出于经济动机。也就是说，OpcJacker的多功能性也使其成为理想的恶意软件加载器。

调查结果公布之际，Securonix披露了一项正在进行的攻击活动的细节，该活动被称为 战术#Octopus这是一个以税收为主题的诱饵，以美国实体为目标，用后门感染它们，以访问受害者系统，并捕获剪贴板数据和按键。

在一个相关的发展中，意大利和法国用户在YouTube上搜索破解版的PC维护软件，如EaseUS Partition Master和Driver Easy Pro，将被重定向到分发NullMixer滴管的Blogger页面。

NullMixer还可以同时删除各种现成的恶意软件，包括PseudoManuscrypt，浣熊Stealer，GCleaner，Fabookie和一个称为Crashtech Loader的新恶意软件加载器，导致大规模感染。

稿源：TheHackerNews.com

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/