OpcJacker Crypto kötü amaçlı yazılım kampanyasının birincil hedefi, yeni Opcjacker kötü amaçlı yazılımını içeren bir arşiv dosyasını indirmeleri için kandırılan İran’daki şüphelenmeyen kullanıcılardır.
Trend Micro siber güvenlik araştırmacıları, Şubat 2023’te İranlı kullanıcıları hedefleyen ve kötü amaçlı Opcjacker dağıtan yeni bir kötü amaçlı reklam kampanyası keşfetti. İşlem kodu yapılandırma tasarımı ve kripto para çalma yetenekleri nedeniyle kötü amaçlı yazılıma Opcjacker adını verdiler.
İranlı kullanıcılara yönelik kötü amaçlı reklam saldırılarında VPN’lerin kullanılması şaşırtıcı olmamalıdır. Ekim 2022’de İranlı bilgisayar korsanları “yayılıyordu”Sıçan Milad” VPN uygulaması kılığına girmiş Android casus yazılımı.
Daha Fazla Bağlam
- İranlı grup “Fox Kitten Kampanyası” için VPN’leri hackliyor
- İran’daki protesto tutuklularının telefonları casus yazılımla hedef alındı
- VPN kötü amaçlı reklamcılık, Farsça konuşan Bahai inancının takipçilerini vuruyor
VPN Kötü Amaçlı Reklam Saldırısı Opcjacker’ı Düşürdü
Kampanya, zararsız görünen kripto uygulamalarını ve diğer yazılımları tanıtan sahte web sitelerinden oluşan bir ağ üzerinden çalışır. Yeni analiz edilen örnekte, kötü amaçlı reklamlar gerçek bir VPN uygulamasının içine gizlenmişti. İran’daki kullanıcılar, yeni Opcjacker kötü amaçlı yazılımını içeren bir arşiv dosyasını indirmeleri için kandırıldı.
Saldırı Nasıl Çalışır?
Kötü amaçlı yazılım, bir sonraki kötü amaçlı DLL kitaplığını yükleyen yüklü bir programdaki yasal bir DLL kitaplığına yama uygulayarak otomatik olarak yüklenir. Bu kitaplık sonunda başka bir kötü amaçlı uygulamanın yükleyicisini ve çalıştırıcısını içeren kabuk kodunu çalıştırır. Bu uygulama, WAV, CHM ve diğer biçimlerdeki dosyalarda depolanan veri parçalarından toplandığı için Opcjacker’dan farklıdır.
Optioncker’ı Analiz Etme
Araştırmacılar, Opcjacker’ın yeni ve ilginç bir kötü amaçlı yazılım olduğunu belirtti. Yapılandırma dosyası, hırsızın davranışını özetleyen özel sanal makine koduna benzeyen özel bir dosya biçimine sahiptir.
Yapılandırma dosyasında araştırmacılar, kötü amaçlı yazılımı belirli işlevleri gerçekleştirmeye zorlayan ve araştırmacıların kötü amaçlı yazılımın kod akışını tanımlamasını zorlaştıran sayısal onaltılık tanımlayıcılar buldu.
Araştırmacılar, “Yapılandırma dosyası formatı, özel bir makine dilinde yazılmış, her talimatın ayrıştırıldığı, bireysel işlem kodlarının elde edildiği ve ardından belirli işleyicinin yürütüldüğü bir bayt koduna benzer” diye yazdı. rapor.
Opcjacker’ın Yetenekleri ve İşlevleri
Bu kampanyada, dolandırıcılar Opcjacker’ı adlı bir şifreleyici aracılığıyla gizlediler. Babadeda. Kötü amaçlı yazılımın veri çalma yeteneklerini etkinleştirmek, rastgele kabuk kodu çalıştırmak ve diğer yürütülebilir dosyaları etkinleştirmek için yapılandırma dosyasını kullanır.
Kötü amaçlı yazılımın işlevleri arasında ekran görüntüleri yakalama, keylogging, yeni modüller yükleme, tarayıcılardan özel/hassas kullanıcı verilerini çalma ve kripto para cüzdanlarını ele geçirme yer alır. panodaki adresleri değiştirme.
Ek olarak, Opcjacker aşağıdakiler gibi sonraki aşama yüklerini sağlayabilir: NetSupport RAT Saldırganın uzaktan erişimine izin vermek için bir hVNC (gizli sanal ağ bilgi işlemi) varyantı ile birlikte.
Araştırmacılar, Opcjacker kripto para birimini çalabileceği için kampanyanın finansal olarak motive edildiğine inanıyor. Kötü amaçlı yazılım, en azından 2022’nin ortalarından beri farklı kötü amaçlı reklam kampanyalarında dağıtılıyor, ancak hâlâ gelişiyor ve aktif geliştirme aşamasında.
ALAKALI HABERLER
- Yeni kötü amaçlı reklamcılık saldırısı arka kapıdan yayılıyor
- Sahte Tor Tarayıcı Yükleyicileri Clipper Kötü Amaçlı Yazılımını Düşürür
- CISA, ‘kötü amaçlı reklamcılığı’ savuşturmak için reklam engelleyicileri kullandığını söylüyor
- Kötü amaçlı reklam saldırısı milyonlarca PornHub kullanıcısını etkiledi