سرقت دوباره اطلاعات ایرانیها با VPN جعلی
یک بدافزار جدید سرقت اطلاعات به نام OpcJacker از نیمه دوم سال 2022، به عنوان بخشی از یک کمپین تبلیغاتی مشاهده شده است.
در همین راستا دو تن از محققان شرکت ترند میکرو (Trend Micro) معتقدند عملکرد اصلی OpcJacker شامل صفحه کلید، گرفتن اسکرینشات، سرقت دادههای حساس از مرورگرها، بارگیری ماژولهای اضافی و جایگزینی آدرسهای ارزهای دیجیتال در کلیپبورد به منظور ربودن آن است.
مسیر اولیه این کمپین، شامل شبکهای از سایتهای جعلی است که نرمافزارهای ظاهرا بیضرر و اپلیکیشنهای مرتبط با ارزهای دیجیتال را تبلیغ میکنند.
اما شواهد نشان میدهد کمپین فوریه 2023، به طور خاص کاربران ایران را به بهانه ارائه سرویس VPN هدف حمله قرار داد.
فایلهای نصبکننده بهعنوان مجرایی برای استقرار OpcJacker عمل میکنند. این فایلها میتوانند ظرفیتهایی برای مرحله بعدی مانند NetSupport RAT و یک نوع محاسبات شبکه مجازی پنهان (hVNC) را برای دسترسی از راه دور ایجاد کنند.
بدافزار OpcJacker با استفاده از رمزگذار معروف به Babadeda پنهان میشود و از یک فایل پیکربندی برای فعال کردن عملکردهای برداشت داده استفاده میکند.
این بدافزار همچنین میتواند پوسته و فایلهای دلخواه را اجرا کند.
بنا بر اعلام ترند میکرو، فرمت فایل پیکربندی شبیه یک بایت کد نوشتهشده در یک زبان ماشین سفارشی است؛ جایی که هر دستورالعمل تجزیه میشود، کدهای عملیاتی جداگانه به دست میآید و سپس کنترلکننده خاص اجرا میشود.
با توجه به توانایی بدافزار برای سرقت وجوه رمزنگاریشده از کیف پولها، گمان میرود این کمپینها، انگیزه مالی داشته باشند. گفته میشود تطبیقپذیریOpcJacker ، آن را به یک بارگذار بدافزار ایدهآل تبدیل میکند.
این یافتهها زمانی به دست میآیند که Securonix، جزییات یک کمپین حمله در حال انجام به نام TACTICAL#OCTOPUS را نشان داد که نهادهای آمریکایی را با فریبهایی با مضمون مالیاتی هدف قرار میدهد تا آنها را از طریق درب پشتی آلوده کند و از این طریق به سیستمهای قربانی دسترسی داشته باشد و دادههای کلیپبورد و ضربههای کلید را ضبط کند. (بکدور یا درب پشتی، نوعی نرمافزار مخرب است که میتواند برای دستیابی غیرمجاز به سیستم رایانهای، محدودیتهای امنیتی را دور بزند. به عبارت سادهتر، بکدور یک قطعه کد است که به دیگران اجازه میدهد بدون اینکه تشخیص داده شوند از یک سیستم، وارد و سپس خارج شوند.)
در این زمینه، کاربران ایتالیایی و فرانسوی که نسخههای کرکشده نرمافزار تعمیر و نگهداری رایانه شخصی مانند EaseUS Partition Master و Driver Easy Pro را در یوتیوب جستجو میکنند، به صفحات بلاگر هدایت میشوند که NullMixer را توزیع میکند.
در این حالت، NullMixer به دلیل حذف همزمان طیف گستردهای از بدافزارهای خارج از قفسه مانند PseudoManuscrypt، Raccoon Stealer، GCleaner، Fabookie و یک بارگذار بدافزار جدید به نام Crashtech Loader که منجر به آلودگی در مقیاس بزرگ میشود، متمایز از موارد مشابه عمل میکند. (منبع:عصر ارتباط)