连续6年不跑路的安全速度最适合国人VPN
我们发现了一种新的恶意软件,命名为“OpcJacker”(因其操作码配置设计及其加密货币劫持能力而得名),自2022年下半年以来已经在网络上广泛传播。OpcJacker是一款有趣的恶意软件,因为其配置文件使用自定义文件格式来定义窃取者的行为。具体而言,该格式类似于自定义虚拟机代码,配置文件中的十六进制数字标识符使窃取者能够执行所需的功能。使用这种设计的目的可能是为了使研究人员更难理解和分析恶意软件的代码流。
OpcJacker的主要功能
OpcJacker的主要功能包括: - 键盘记录:记录用户的键盘输入。 - 截图:捕获用户屏幕。 - 敏感数据窃取:从浏览器中窃取敏感信息。 - 加载额外模块:加载其他恶意模块。 - 加密货币地址替换:在剪贴板中替换加密货币地址以进行劫持。
分发方式
我们观察到OpcJacker通过多种不同的活动进行传播,这些活动通常涉及伪装成与加密货币相关的应用程序和其他合法软件的恶意网站。在2023年2月的最新活动中,OpcJacker的感染链始于针对伊朗用户的恶意广告。这些恶意广告伪装成合法的VPN服务,欺骗受害者下载包含OpcJacker的压缩文件。
攻击链分析
该恶意软件通过修补已安装应用程序中的合法DLL库来加载,然后加载另一个恶意DLL库。该DLL库组装并运行shellcode — 另一个恶意可执行文件的加载器和运行器 — 以及OpcJacker,这些数据块存储在各种格式的数据文件中,例如波形音频文件格式(WAV)和Microsoft编译的HTML帮助文件(CHM)。这种加载器自被描述并命名为Babadeda crypter以来已使用超过一年。参与该活动的威胁行为者在加密器本身上实施了一些更改,然后添加了一个全新的有效载荷(窃取者/剪切器/键盘记录器)。
观察到的其他模块
我们注意到OpcJacker主要下载并运行附加模块,这些模块是远程访问工具 — 或者NetSupport RAT或隐藏的虚拟网络计算(hVNC)变种。我们还发现一份报告分享了一种名为“Phobos Crypter”的加载器的信息(实际上与OpcJacker是同一恶意软件),用于加载Phobos勒索软件。
传播途径
如前所述,我们观察到OpcJacker通过几种不同的活动进行传播,这些活动通常涉及假网站,宣传看似合法的软件和与加密货币相关的应用程序,但实际上承载恶意软件。由于这些活动除了OpcJacker之外还传递其他几种恶意软件,我们相信它们很可能是OpcJacker操作者利用的不同按安装付费服务。
最新活动的详细信息
在2023年2月的最新活动中,我们注意到OpcJacker通过针对伊朗的恶意广告进行传播。这些恶意广告链接到一个伪装成合法VPN软件的网站。该网站的内容是从合法商业VPN服务的网站复制而来的,但链接修改为指向一个承载恶意内容的被攻陷网站。
该恶意网站检查客户端的IP地址,以确定受害者是否使用VPN服务。如果IP地址不是来自VPN服务,则将受害者重定向到第二个被攻陷的网站,诱使他们下载包含OpcJacker的压缩文件。请注意,如果目标受害者正在使用VPN服务,攻击将不会继续。
结论
OpcJacker是一款复杂的恶意软件,其通过伪装成合法软件来进行传播。其独特的配置文件格式和多种功能使其成为一个值得关注的安全威胁。用户应提高警惕,避免下载不明来源的软件,并使用可靠的VPN服务来保护个人数据安全。
