adlı yeni bir bilgi çalan kötü amaçlı yazılım parçası SeçenekJacker 2022’nin ikinci yarısından beri bir kötü amaçlı reklam kampanyasının parçası olarak vahşi doğada görüldü.
Trend Micro araştırmacıları Jaromir Horejsi ve Joseph C. Chen, “OpcJacker’ın ana işlevleri arasında keylogging, ekran görüntüleri alma, tarayıcılardan hassas verileri çalma, ek modüller yükleme ve panodaki kripto para birimi adreslerini ele geçirme amacıyla değiştirme yer alır.”
Kampanyanın ilk vektörü, görünüşte zararsız yazılımların ve kripto para birimiyle ilgili uygulamaların reklamını yapan sahte web sitelerinden oluşan bir ağı içeriyor. Şubat 2023 kampanyası, bir VPN hizmeti sunma bahanesiyle özellikle İran’daki kullanıcıları seçti.
Yükleyici dosyaları, aynı zamanda NetSupport RAT ve uzaktan erişim için gizli bir sanal ağ bilgi işlem (hVNC) varyantı gibi sonraki aşama yüklerini sunabilen OpcJacker’ı dağıtmak için bir kanal görevi görür.
OpcJacker, Babadeda olarak bilinen bir şifreleyici kullanılarak gizlenir ve veri toplama işlevlerini etkinleştirmek için bir yapılandırma dosyası kullanır. Ayrıca keyfi kabuk kodu ve yürütülebilir dosyaları çalıştırabilir.
Trend Micro, “Yapılandırma dosyası formatı, özel bir makine dilinde yazılmış, her talimatın ayrıştırıldığı, bireysel işlem kodlarının elde edildiği ve ardından belirli işleyicinin yürütüldüğü bir bayt koduna benzer” dedi.
Kötü amaçlı yazılımın cüzdanlardan kripto fonları çalma yeteneği göz önüne alındığında, kampanyaların finansal amaçlı olduğundan şüpheleniliyor. Bununla birlikte, OpcJacker’ın çok yönlülüğü onu ideal bir kötü amaçlı yazılım yükleyicisi yapar.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Bulgular, Securonix’in, kurban sistemlerine erişim elde etmek ve pano verilerini ve tuş vuruşlarını yakalamak için arka kapılar bulaştırmak üzere vergi temalı tuzaklarla ABD kuruluşlarını hedef alan TACTICAL#OCTOPUS adlı devam eden bir saldırı kampanyasının ayrıntılarını ortaya çıkarmasıyla geldi.
İlgili bir gelişmede, YouTube’da EaseUS Partition Master ve Driver Easy Pro gibi bilgisayar bakım yazılımlarının kırık sürümlerini arayan İtalyan ve Fransız kullanıcılar, NullMixer damlalığının dağıtıldığı Blogger sayfalarına yönlendiriliyor.
NullMixer ayrıca, PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie ve büyük ölçekli enfeksiyonlara yol açan Crashtech Loader olarak adlandırılan yeni bir kötü amaçlı yazılım yükleyici dahil olmak üzere çok çeşitli kullanıma hazır kötü amaçlı yazılımları aynı anda bırakmasıyla öne çıkıyor.