Trend Micro обнаружили новую вредоносную программу, которую мы назвали "OpcJacker" (из-за дизайна конфигурации опкода и способности перехватывать криптовалюту), которая распространяется в дикой природе со второй половины 2022 года.
OpcJacker Malware
OpcJacker - интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения крадущего. В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в конфигурационном файле, заставляют угонщика выполнять желаемые функции. Цель использования такого дизайна, вероятно, заключается в том, чтобы усложнить для исследователей понимание и анализ потока кода вредоносной программы.
Основные функции OpcJacker включают в себя перехват клавиатуры, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена для целей перехвата.
Trend Micro наблюдали распространение OpcJacker в рамках различных кампаний, в ходе которых вредоносная программа маскировалась под криптовалютные приложения и другое легитимное программное обеспечение, которое злоумышленники распространяли через поддельные веб-сайты. В последней (февраль 2023 года) кампании с участием OpcJacker цепочка заражения началась с вредоносных сообщений, которые были направлены на пользователей в Иране. Вредоносные сообщения были замаскированы под легитимный VPN-сервис, который обманом заставлял своих жертв загрузить архивный файл, содержащий OpcJacker.
Вредоносная программа загружается путем исправления легитимной библиотеки DLL в установленном приложении, которое загружает другую вредоносную библиотеку DLL. Затем эта DLL-библиотека собирает и запускает shellcode - загрузчик и запуск другого вредоносного исполняемого файла - и OpcJacker из фрагментов данных, хранящихся в файлах данных различных форматов, таких как Waveform Audio File Format (WAV) и Microsoft Compiled HTML Help (CHM). Этот загрузчик используется уже более года, поскольку ранее он был описан и назван криптером Babadeda. Угрожающий агент, стоящий за этой кампанией, внес несколько изменений в сам криптор, а затем добавил совершенно новую полезную нагрузку (stealer/clipper/keylogger).
Trend Micro заметили, что OpcJacker в основном сбрасывает (или загружает) и запускает дополнительные модули, которые представляют собой инструменты удаленного доступа - либо NetSupport RAT, либо вариант скрытых виртуальных сетевых вычислений (hVNC). Мы также нашли отчет, содержащий информацию о загрузчике под названием "Phobos Crypter" (который на самом деле является тем же вредоносным ПО, что и OpcJacker), используемом для загрузки Phobos ransomware.
Indicators of Compromise
IPv4 Port Combinations
- 185.163.45.36:5051
- 206.188.197.199:443
- 94.158.244.118:1203
Domains
- installer-xvpn-g.site
- installer-xvpn-h.site
- installer-xvpn-k.site
- installer-xvpn-n.site
- irbxvpn.site
- irexvpn.site
- irfxvpn.site
- irhxvpn.site
- irixvpn.site
- irkxvpn.site
- irqxvpn.site
- irtxvpn.site
- iruxvpn.site
- irwxvpn.site
- nesupcli.com
- uhcoxvpn.site
Domain Port Combinations
- alle13net1.com:5511
- alle13net2.com:5511
- comes1.com:1255
- comes2.com:1255
- gattri1.com:5256
- gattri2.com:5256
- manigiajabae32.com:2006
- manigiajabae35.com:2006
- neskrab1.com:1133
- neskrab2.com:1133
- she32rn1.com:5511
- she32rn2.com:5511
- uzurtela1.com:3961
- uzurtela42.com:3961
SHA256
- 0097a6bdac122bd4eeea03142b319b96ed3977dac703d78ee98241c43bc2c2c0
- 032d251f6fcd1b095792affa73fcab72e3dd13ece54b4b6f72e16ebe3b85e583
- 0489e667f339a52b6804d2f55353c7de8cc50fce6a6ca1f98c81a2d78657eb85
- 07a0873764fe9150252b56a84bacee9d62fdf1f4529b1c92e9263a6314dbed7b
- 09bd3d062d2f57bb82c47857298278578464cecab1f29b1b8cbba83f5ab9a3de
- 09d3a3eab810cd5dc37641f4f74b6de7f634589d68f6a990b8f5296e4e48501d
- 0a64984c1e2454458cf52d728710966f523887c64cd575b7e20287a55ece37e2
- 0b2498c984c35d8c485d64cbd146acaa25b2e05acfae76efc2776e72de05eb0f
- 0e0502f9945a3a874387e65a49c9bbb9f19f51cd9a5e96448ecaf24f62c67dd0
- 13ed3739782eb2feae32aa2176cd8b0c0b5f9e45259b1c22ffe960b5fef31ffc
- 1ade68b2ac855730719e36bc46a981082e99afb67670f0a00ab7f9eb76d5500a
- 1d3581daa5e60802b7a3382a03b1447a3f69593c6cd09c1fd4f3feda862042d4
- 1e75c0aacf39257b626018ebb4a6c790e29bb47fa1776e9099c5b0028bbd564b
- 221f766bbf6705bb502a9abb1e6ad363a3a10daf084043605f069ac38e86528c
- 26e2637290a5691dad106ff1a0b1f23a3d6e5527655b0791ffb2aa4449ade855
- 2b45d9e7e9da3d024c9891c43dc06c155a8a71a4bdf9b6a0eb522eab2744275b
- 2c0d6a36293a0ea88e7b6d23845755d8a3ac39ebf04944acbe82eef2557653b7
- 350180b0af74453be42b8965dcbc09849b2d73a7a3e40050cd894f24dd280c38
- 35cb687175871c875e74137029aee73373e125f76666a984692dcb47b4fcdb18
- 371eb99803df2ca6481eadd40e176bc3e968238b11d0d7b1001b97455ff4bbe1
- 3743a76f5a4a709236ccac39da482154abbcee35a8dda80230304e44620307b0
- 37ea5c9c4779619e5f8e546c920bdaaf192b29e97436b82f77ed25d55be23e8c
- 388bbd8b592cebe4a0a32351969fe2e19e454af24ff6683524c71f74e0320ac0
- 3dd172bf8a7e2985f8387ffc4b6f2fc3ee05435b69a43d714d3137d9a5147127
- 3e55bc263f473177ef12db88021597a370e1a305ea33576e220d36e19671a430
- 4705e0ab85c59d783e209445ad57b402acb6cd999ccda82b9bfaa185c10948ee
- 47b616dc8cafc75e8a975f2df508539aa0cc41c328539f243d0fe93afe25136d
- 49d9182ffbbafbeb634c15548a00931a9465e17b1dc5caee995c56b70fa33ec2
- 4b5fda9d2ce0c3dae68cf1f0cf8805b25d547f4ff9f688c7dcf77c997a602c73
- 565ea7469f9769dd05c925a3f3ef9a2f9756ff1f35fd154107786bfc63703b52
- 56e70bab56f521d1fb5c3afd99a8c66422105b9d778d54f07c24250cb3538529
- 5cff2193811ff0103dd8f05ecdf3416164648468cbe7e870594eec57edd87b1c
- 609e04639a80a270fcb12548b6f3c03f9ae34b458905120b3765b9faf48e6faf
- 653d4ca3df3c44d7ccf876fbfecbc32c09462a0f72830cb3dee57118f3097661
- 682e839e84c8510b3f4728743c34277cb22a5b8a16bc09e7757615b453d6c10e
- 68f54da86189841c040dbfd3bf1985492c621ad99b62df895a16d5db900b4968
- 6bf95e99682b1ba114a6a639f20715bc10a316e3c6b79a12c83e105e94fbf373
- 708c2a26a836abf057f0c03fe174dcb9e3044c363845c93a1f233552160ad480
- 74081c1779afc036e4dd3ba17111829f1e98ff2dd090362e290359c8e4322188
- 76b3d17196dd9e99eadd46e8bc760ec8809a0c723f66fb687ab8576dd1299e34
- 7749809e7bec6cde04b8042d7c6a4212adbdd71c73aa32e9004784d7d44c5457
- 7829b07bea9ab1972fe61112ddd95af2320349b97efc05756177daf92d34a0ee
- 79cb81c74b994b2b2dd351bb567c82e64c666192e25b8d571d00caffd3fdef76
- 79f868fd318b66b0b9374a32c8fb5ce5488d5418ef266e269cdecb56857387ff
- 7ba2fd9c4dd159b1cfc9c693826ee10c2fbb6922e08dab5aa7ef2caa60c1eadc
- 7f29c4ee1ce8c8d3cd04ac2bceb9a48763900e4aa298368310f3ccd9c782d86e
- 813c56703736eb752b2a63ed823e7c17c40e12a1a70004298de9cc2c3dfd8ccc
- 849dbd23546aae1db8648dd24992aaaa84fe61739dfb5c06704ccd83078c5640
- 85e9f28bc839619cf1df3ec9115cda40741d2d169baa93fc8144a8957d23aa88
- 87eb8bc7404a7f7019dda05896831f77649479dbe761ac1efc8af37e4ea2bcb0
- 8a32bf7e28fba8461a44efeb77bbf61d13111eec960efcf27e088fb95d77d91e
- 8e61894bdbd5e1c817754aebe6afc705d81e1d70eb330e59de419810985566de
- 900007491002debe93c5fb130d7514afe7ee3b84ec33494d75c0e575f1a0982d
- 914da01d63bde3964dbaaa45f2da93da451a0d96919bc5ed054e7102520d833b
- 938f2a778f092950d73c4f84bf7916a8ae48dc38a92ed3a2d2403d9ec8327e6c
- 94d8827d8fbe8998a8d3073334ff799455f84557211e2b407f3c86b69312a6b6
- 955f6130cecb2012644699e6ad37ac60dbad7214dfaac79fd2a771451da5f158
- 968fb7c732d99d45c39685cf5f30c104be13ec50e3789d68405a333b9000a812
- 98390078ed7d1077c07c09f2c5080465cb1b9aac191cd554cc416f63d9a24b87
- a37b3818a1706d3003c41ee30b6dfa9a2b3e6898b71b2d00497889a1eb91a7e9
- a533ca19ad0f98ffc58c461afc3e7612f297135762252ed78f8be82e71be31e9
- a7729778cfc1c739a7c9df267ac7a6378a595140a6238c82b7ce2f08bb49589b
- a8e36c87b13e47b622e49d475449c892c9dd52bd496ae8653b4804a8ce7e1c7f
- a9fb96412e739f17075ed1dba6b0e4442e0efce06b33f657ecdfc33f115ff676
- aae49aa30ff57d97291d3783a1717b3d80e1f67291a04bcf13b158f733c4274c
- adcbabbc51d07202087b6d5911eff2ada0d128e85f252b8b954535c3db1460c0
- aece788681d2a7a3bc76f78c65ec5418138dbd1f08bc042c4ef18c82946795c2
- af7ddaa90b42edd1d35fad9c1c81d5e0548b0c40b38f23bc2e2ed3e8ee8db03f
- b42bcb8acba2822d71a84608ee5da3c8cf80530eb0d09f74d7f12cbebbebb599
- b6b7c1d52d9d6a3ef073485145e49d36eafac70cb0c8e0c94eedc115cd4a25ee
- b715f22a9e37049d09b06c26ca899c4be3c6c21386f70d6d357b3bd481ee1794
- ba94bfe5bcf3197f1e571ada6b710c4267283c596c09635182597dd46018043e
- bb65b98c75ade7cbbf05d35e7a15b3c220f6e2c3262a5103f4d0844d1409289e
- bbb8373549079c5fcf5b78a2a68cdf314d5814aad5fdd2f3493d0bc3929993e1
- bd2779b87974a6e55bf1a3be54de3fd122c0d0d8249fd51855c055911bfd35cb
- be5abb0c31679be378f4be5d8d099f37e7db1bbf3122be1f38f7df2b086a0a02
- c1c8fdec79fe2c133c1bc0790eac7d01e86a0216a3fbec2ffa05597727225657
- c1dadb7ed2a9ba97bd440dcfc18519da5887f473d9f635a0975d742fa3f80ee6
- c5b499e886d8e86d0d85d0f73bc760516e7476442d3def2feeade417926f04a5
- c68096eb0a655924ca840ea1c71f9372ac055f299b52335ad10ddfa835f3633d
- cf95bdfd3a75f32ab9642104aee2ab879e90a4b791432951c360029815ff577f
- cfce71839b1f7aca5e32fb72905f6e3ac4569982b47164ef25cd912699476811
- d2729637265d3247b8872371a8579e3e042519edea0ced83c512163f66df554a
- d4d02d34c9030cb481ed06f17be601fff474840cdcc260c7d740668536837eb4
- e00b8b5ae5a8437186bcfb4115e2466590753f8c268609e5d62fd7f438c7faae
- e74fa53cc4580d18def6e2f27ccce51c8b9634d3532f5406f6dd7dc7d0e15157
- e8b64c06d1078d9d427679a43ef9e932f70ae83b50fc5a713d1fdf058019170a
- e8b9ffb303bf651e1bd471e13e32fa556e25c326ce2757573b4fe43027bb7d07
- ecaf6da2a4dbe72fca16b9a758ed0bc2751884d9315411285555d8781617ef58
- ef6500e8a1743e01840063544cd4e880abcfe489283c0b32920f9347a77ac4e6
- efb0bb2fa8929e4889eb982d7351e844af05b7efd0d0b721a2911d89f0a66eea
- f0778ef6a8d569a4c3e0c2397cfc3b46c8a34afa2cb56b1211ad9ea7dd962299
- f13e014ce258dc5ff00e43bd274751f773df0eefd69e44ef7ee4ce45461cc5e0
- f210954c65b90a47be99cd8b977900e7a6cb6f04d5ba48fd8b315e586ff1f195
- f210b8d8e984df19b27fb6184ed0212467c219b418b94b01003d5e6c11efdef3
- f31fdeaeb4d38d2e3d3c5994bd65c87a669b7530933de881319fa07830b5adc4
- f46076aa03b64da37d0c3e9a6b336fe276e60b0288c9351f7089b0605057323d
- f5fe3540415b9cda7ae2f580adae1b8b40990c09741ed3cfe36a9bafffdc192a
- f772b652176a6e40012969e05d1c75e3c51a8db4471245754975678f04dedaaa
- f991735aa2fd2511053d615b56a59caa3dcdedfcea82d6d42512a07aeddb6dbf
- feb3ab1217f993d9214bb0e1a9561709bd9a1172ceee719fa9051d9fa6aa9622
- ffe9068a2c192ff8bbe3d7049d56fb3ba459c3822b56036e3eed7f5c07e118e1