È stato individuato un nuovo malware per il furto di informazioni chiamato OpcJacker, che circola dal secondo semestre del 2022 come parte di una campagna di malvertising, analogamente ad altre campagne di cryptojacking già avvenute in passato.
OpcJacker: cosa fa e come funziona
“Le principali funzioni di OpcJacker includono keylogging, la cattura di screenshot, il furto di dati sensibili dai browser, il caricamento di moduli aggiuntivi e la sostituzione degli indirizzi di criptovaluta negli appunti per scopi di dirottamento“, hanno dichiarato i ricercatori di Trend Micro Jaromir Horejsi e Joseph C. Chen.
Il vettore iniziale della campagna coinvolge una rete di siti web falsi che pubblicizzano software apparentemente innocuo e applicazioni legate alle criptovalute. La campagna del febbraio 2023 ha preso di mira specificamente gli utenti in Iran sotto il pretesto di offrire un servizio VPN (in pratica un servizio VPN fasullo).
I file di installazione fungono da condotto per distribuire OpcJacker, che è anche in grado di consegnare payload di prossimo stadio come NetSupport RAT e una variante di virtual network computing (hVNC) nascosta per l’accesso remoto.
OpcJacker è occultato utilizzando un criptatore noto come Babadeda e fa uso di un file di configurazione per attivare le sue funzioni di raccolta dati. È in grado di eseguire shellcode e file eseguibili arbitrari.
Il formato del file di configurazione assomiglia a un bytecode scritto in un linguaggio di macchina personalizzato, in cui ogni istruzione viene analizzata, vengono ottenuti i singoli opcode, e poi viene eseguito il gestore specifico”, ha detto Trend Micro.
Date le capacità del malware di rubare fondi cripto dai portafogli, si sospetta che le campagne siano motivate finanziariamente. Detto questo, la versatilità di OpcJacker lo rende anche un caricatore di malware ideale.
Questi risultati arrivano mentre Securonix ha rivelato dettagli su una campagna di attacchi in corso chiamata TACTICAL#OCTOPUS che mira a organizzazioni statunitensi con esche a tema fiscale per infettarle tramite una backdoor al fine di accedere ai sistemi delle vittime e catturare i dati degli appunti e le pressioni dei tasti.
In un’altra sviluppo correlato, gli utenti italiani e francesi che cercano versioni crackate di software di manutenzione PC come EaseUS Partition Master e Driver Easy Pro su YouTube vengono reindirizzati verso pagine di Blogger che distribuiscono il dropper NullMixer.
NullMixer si distingue anche per il fatto che rilascia contemporaneamente una vasta gamma di malware preconfezionati, tra cui PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie e un nuovo caricatore di malware chiamato Crashtech Loader, che porta a infezioni su larga scala.
In conclusione: come ci si difende da problematiche simili?
Per proteggere i propri dispositivi e i dati sensibili, è importante adottare alcune buone pratiche di sicurezza informatica, come l’uso di software antivirus e firewall aggiornati, l’installazione solo di applicazioni da fonti affidabili e la creazione di password forti e uniche per ogni account.
Inoltre, è importante evitare di cliccare su link sospetti o di aprire allegati di email da mittenti sconosciuti e di tenere costantemente monitorati i movimenti sospetti sui propri dispositivi. In caso di sospetta infezione da malware, è consigliabile disconnettere immediatamente il dispositivo dalla rete, eseguire una scansione antivirus completa e rimuovere qualsiasi software sospetto o non autorizzato. In caso di danni o perdite di dati, è importante disporre di un piano di backup e ripristino dei dati.
Infine, è consigliabile tenersi sempre aggiornati sulle ultime minacce informatiche e sulle migliori pratiche di sicurezza informatica.
Quindi mi raccomando: naviga sereno, ma presta comunque attenzione.
————-
Contenuto pubblicato su tech.icrewplay.com Read More