I ricercatori di Trend Micro hanno scoperto un nuovo malware che ruba criptovalute e si diffonde mascherandosi da finta VPN. Soprannominato dai ricercatori “OpcJacker”, è stato distribuito in natura dalla seconda metà del 2022.
OpcJacker è un malware interessante, dal momento che il file di configurazione utilizza un formato personalizzato per definire il comportamento dello stealer. Nello specifico, il formato assomiglia al codice della macchina virtuale personalizzata, in cui gli identificatori numerici esadecimali presenti nel file di configurazione fanno sì che lo stealer esegua le funzioni desiderate.
Le funzioni principali di OpcJacker includono il keylogging, l’acquisizione di screenshot, il furto di dati sensibili dai browser, il caricamento di moduli aggiuntivi e la sostituzione di indirizzi di criptovaluta nella clipboard a scopo di hijacking.
OpcJacker viene distribuito attraverso diverse campagne che coinvolgono siti Web falsi che pubblicizzano software apparentemente legittimo e applicazioni del mondo della criptovaluta, ma che in realtà ospitano malware. Poiché queste campagne forniscono altri malware diversi oltre a OpcJacker, è molto probabile che si tratti di diversi servizi pay-per-install sfruttati dagli operatori di OpcJacker.
Nell’ultima campagna (febbraio 2023), la catena di infezione è iniziata con malvertisements con targeting geografico per gli utenti in Iran. Questi malvertisements erano collegati a un sito Web dannoso camuffato da un servizio VPN commerciale legittimo. I collegamenti sono stati modificati per collegarsi a un sito Web compromesso che ospita contenuti dannosi e controlla l’indirizzo IP del client per determinare se la vittima utilizza un servizio VPN. Se l’indirizzo IP non proviene da un servizio VPN, reindirizza la vittima al secondo sito Web compromesso per indurla a scaricare un file di archivio contenente OpcJacker. (I ricercatori sottolineano che l’attacco non procederà se la vittima designata utilizza un servizio VPN).
Il malware viene caricato applicando una patch a una libreria DLL legittima all’interno di un’applicazione installata, che carica un’altra libreria DLL dannosa. Questa libreria DLL, quindi, assembla ed esegue lo shellcode (il caricatore e l’esecuzione di un altro eseguibile dannoso) e OpcJacker da blocchi di dati archiviati in file di dati di vari formati, come Waveform Audio File Format (WAV) e Microsoft Compiled HTML Help (CHM).
I ricercatori hanno osservato che OpcJacker per lo più rilascia (o scarica) ed esegue moduli aggiuntivi, che sono strumenti di accesso remoto: NetSupport RAT o una variante nascosta di virtual network computing (hVNC).
OpcJacker è nascosto grazie a un crypter noto come Babadeda e fa uso di un file di configurazione per attivare le sue funzioni di raccolta dati. Può inoltre far girare shellcode arbitrarie ed eseguibili.
Il componente principale di OpcJacker è un interessante stealer che prima decifra e carica il suo file di configurazione. Il formato del file di configurazione assomiglia a un bytecode scritto in un linguaggio macchina personalizzato, in cui ogni istruzione viene analizzata, vengono ottenuti i singoli codici operativi e quindi viene eseguito il gestore specifico.
L’operatore di OpcJacker sembra essere motivato dal guadagno finanziario, poiché lo scopo principale del malware è rubare fondi di criptovaluta dai portafogli. Tuttavia, le sue funzioni versatili consentono anche a OpcJacker di agire come un information stealer o un malware loader, il che significa che può essere utilizzato oltre l’uso previsto iniziale.
Secondo gli ID della campagna trovati dai ricercatori nei campioni, OpcJacker potrebbe essere ancora in fase di sviluppo e test. Dato il suo design unico combinato con una varietà di funzionalità simili a VM, è possibile che il malware possa rivelarsi popolare tra gli attori delle minacce e quindi potrebbe essere utilizzato nelle future campagne malevole.
