OpcJacker Malware IOCs

malware IOC

Trend Micro обнаружили новую вредоносную программу, которую мы назвали "OpcJacker" (из-за дизайна конфигурации опкода и способности перехватывать криптовалюту), которая распространяется в дикой природе со второй половины 2022 года.

OpcJacker Malware

OpcJacker - интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения крадущего. В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в конфигурационном файле, заставляют угонщика выполнять желаемые функции. Цель использования такого дизайна, вероятно, заключается в том, чтобы усложнить для исследователей понимание и анализ потока кода вредоносной программы.

Основные функции OpcJacker включают в себя перехват клавиатуры, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена для целей перехвата.

Trend Micro наблюдали распространение OpcJacker в рамках различных кампаний, в ходе которых вредоносная программа маскировалась под криптовалютные приложения и другое легитимное программное обеспечение, которое злоумышленники распространяли через поддельные веб-сайты. В последней (февраль 2023 года) кампании с участием OpcJacker цепочка заражения началась с вредоносных сообщений, которые были направлены на пользователей в Иране. Вредоносные сообщения были замаскированы под легитимный VPN-сервис, который обманом заставлял своих жертв загрузить архивный файл, содержащий OpcJacker.

Вредоносная программа загружается путем исправления легитимной библиотеки DLL в установленном приложении, которое загружает другую вредоносную библиотеку DLL. Затем эта DLL-библиотека собирает и запускает shellcode - загрузчик и запуск другого вредоносного исполняемого файла - и OpcJacker из фрагментов данных, хранящихся в файлах данных различных форматов, таких как Waveform Audio File Format (WAV) и Microsoft Compiled HTML Help (CHM). Этот загрузчик используется уже более года, поскольку ранее он был описан и назван криптером Babadeda. Угрожающий агент, стоящий за этой кампанией, внес несколько изменений в сам криптор, а затем добавил совершенно новую полезную нагрузку (stealer/clipper/keylogger).

Trend Micro заметили, что OpcJacker в основном сбрасывает (или загружает) и запускает дополнительные модули, которые представляют собой инструменты удаленного доступа - либо NetSupport RAT, либо вариант скрытых виртуальных сетевых вычислений (hVNC). Мы также нашли отчет, содержащий информацию о загрузчике под названием "Phobos Crypter" (который на самом деле является тем же вредоносным ПО, что и OpcJacker), используемом для загрузки Phobos ransomware.

Indicators of Compromise

IPv4 Port Combinations

  • 185.163.45.36:5051
  • 206.188.197.199:443
  • 94.158.244.118:1203

Domains

  • installer-xvpn-g.site
  • installer-xvpn-h.site
  • installer-xvpn-k.site
  • installer-xvpn-n.site
  • irbxvpn.site
  • irexvpn.site
  • irfxvpn.site
  • irhxvpn.site
  • irixvpn.site
  • irkxvpn.site
  • irqxvpn.site
  • irtxvpn.site
  • iruxvpn.site
  • irwxvpn.site
  • nesupcli.com
  • uhcoxvpn.site

Domain Port Combinations

  • alle13net1.com:5511
  • alle13net2.com:5511
  • comes1.com:1255
  • comes2.com:1255
  • gattri1.com:5256
  • gattri2.com:5256
  • manigiajabae32.com:2006
  • manigiajabae35.com:2006
  • neskrab1.com:1133
  • neskrab2.com:1133
  • she32rn1.com:5511
  • she32rn2.com:5511
  • uzurtela1.com:3961
  • uzurtela42.com:3961

SHA256

  • 0097a6bdac122bd4eeea03142b319b96ed3977dac703d78ee98241c43bc2c2c0
  • 032d251f6fcd1b095792affa73fcab72e3dd13ece54b4b6f72e16ebe3b85e583
  • 0489e667f339a52b6804d2f55353c7de8cc50fce6a6ca1f98c81a2d78657eb85
  • 07a0873764fe9150252b56a84bacee9d62fdf1f4529b1c92e9263a6314dbed7b
  • 09bd3d062d2f57bb82c47857298278578464cecab1f29b1b8cbba83f5ab9a3de
  • 09d3a3eab810cd5dc37641f4f74b6de7f634589d68f6a990b8f5296e4e48501d
  • 0a64984c1e2454458cf52d728710966f523887c64cd575b7e20287a55ece37e2
  • 0b2498c984c35d8c485d64cbd146acaa25b2e05acfae76efc2776e72de05eb0f
  • 0e0502f9945a3a874387e65a49c9bbb9f19f51cd9a5e96448ecaf24f62c67dd0
  • 13ed3739782eb2feae32aa2176cd8b0c0b5f9e45259b1c22ffe960b5fef31ffc
  • 1ade68b2ac855730719e36bc46a981082e99afb67670f0a00ab7f9eb76d5500a
  • 1d3581daa5e60802b7a3382a03b1447a3f69593c6cd09c1fd4f3feda862042d4
  • 1e75c0aacf39257b626018ebb4a6c790e29bb47fa1776e9099c5b0028bbd564b
  • 221f766bbf6705bb502a9abb1e6ad363a3a10daf084043605f069ac38e86528c
  • 26e2637290a5691dad106ff1a0b1f23a3d6e5527655b0791ffb2aa4449ade855
  • 2b45d9e7e9da3d024c9891c43dc06c155a8a71a4bdf9b6a0eb522eab2744275b
  • 2c0d6a36293a0ea88e7b6d23845755d8a3ac39ebf04944acbe82eef2557653b7
  • 350180b0af74453be42b8965dcbc09849b2d73a7a3e40050cd894f24dd280c38
  • 35cb687175871c875e74137029aee73373e125f76666a984692dcb47b4fcdb18
  • 371eb99803df2ca6481eadd40e176bc3e968238b11d0d7b1001b97455ff4bbe1
  • 3743a76f5a4a709236ccac39da482154abbcee35a8dda80230304e44620307b0
  • 37ea5c9c4779619e5f8e546c920bdaaf192b29e97436b82f77ed25d55be23e8c
  • 388bbd8b592cebe4a0a32351969fe2e19e454af24ff6683524c71f74e0320ac0
  • 3dd172bf8a7e2985f8387ffc4b6f2fc3ee05435b69a43d714d3137d9a5147127
  • 3e55bc263f473177ef12db88021597a370e1a305ea33576e220d36e19671a430
  • 4705e0ab85c59d783e209445ad57b402acb6cd999ccda82b9bfaa185c10948ee
  • 47b616dc8cafc75e8a975f2df508539aa0cc41c328539f243d0fe93afe25136d
  • 49d9182ffbbafbeb634c15548a00931a9465e17b1dc5caee995c56b70fa33ec2
  • 4b5fda9d2ce0c3dae68cf1f0cf8805b25d547f4ff9f688c7dcf77c997a602c73
  • 565ea7469f9769dd05c925a3f3ef9a2f9756ff1f35fd154107786bfc63703b52
  • 56e70bab56f521d1fb5c3afd99a8c66422105b9d778d54f07c24250cb3538529
  • 5cff2193811ff0103dd8f05ecdf3416164648468cbe7e870594eec57edd87b1c
  • 609e04639a80a270fcb12548b6f3c03f9ae34b458905120b3765b9faf48e6faf
  • 653d4ca3df3c44d7ccf876fbfecbc32c09462a0f72830cb3dee57118f3097661
  • 682e839e84c8510b3f4728743c34277cb22a5b8a16bc09e7757615b453d6c10e
  • 68f54da86189841c040dbfd3bf1985492c621ad99b62df895a16d5db900b4968
  • 6bf95e99682b1ba114a6a639f20715bc10a316e3c6b79a12c83e105e94fbf373
  • 708c2a26a836abf057f0c03fe174dcb9e3044c363845c93a1f233552160ad480
  • 74081c1779afc036e4dd3ba17111829f1e98ff2dd090362e290359c8e4322188
  • 76b3d17196dd9e99eadd46e8bc760ec8809a0c723f66fb687ab8576dd1299e34
  • 7749809e7bec6cde04b8042d7c6a4212adbdd71c73aa32e9004784d7d44c5457
  • 7829b07bea9ab1972fe61112ddd95af2320349b97efc05756177daf92d34a0ee
  • 79cb81c74b994b2b2dd351bb567c82e64c666192e25b8d571d00caffd3fdef76
  • 79f868fd318b66b0b9374a32c8fb5ce5488d5418ef266e269cdecb56857387ff
  • 7ba2fd9c4dd159b1cfc9c693826ee10c2fbb6922e08dab5aa7ef2caa60c1eadc
  • 7f29c4ee1ce8c8d3cd04ac2bceb9a48763900e4aa298368310f3ccd9c782d86e
  • 813c56703736eb752b2a63ed823e7c17c40e12a1a70004298de9cc2c3dfd8ccc
  • 849dbd23546aae1db8648dd24992aaaa84fe61739dfb5c06704ccd83078c5640
  • 85e9f28bc839619cf1df3ec9115cda40741d2d169baa93fc8144a8957d23aa88
  • 87eb8bc7404a7f7019dda05896831f77649479dbe761ac1efc8af37e4ea2bcb0
  • 8a32bf7e28fba8461a44efeb77bbf61d13111eec960efcf27e088fb95d77d91e
  • 8e61894bdbd5e1c817754aebe6afc705d81e1d70eb330e59de419810985566de
  • 900007491002debe93c5fb130d7514afe7ee3b84ec33494d75c0e575f1a0982d
  • 914da01d63bde3964dbaaa45f2da93da451a0d96919bc5ed054e7102520d833b
  • 938f2a778f092950d73c4f84bf7916a8ae48dc38a92ed3a2d2403d9ec8327e6c
  • 94d8827d8fbe8998a8d3073334ff799455f84557211e2b407f3c86b69312a6b6
  • 955f6130cecb2012644699e6ad37ac60dbad7214dfaac79fd2a771451da5f158
  • 968fb7c732d99d45c39685cf5f30c104be13ec50e3789d68405a333b9000a812
  • 98390078ed7d1077c07c09f2c5080465cb1b9aac191cd554cc416f63d9a24b87
  • a37b3818a1706d3003c41ee30b6dfa9a2b3e6898b71b2d00497889a1eb91a7e9
  • a533ca19ad0f98ffc58c461afc3e7612f297135762252ed78f8be82e71be31e9
  • a7729778cfc1c739a7c9df267ac7a6378a595140a6238c82b7ce2f08bb49589b
  • a8e36c87b13e47b622e49d475449c892c9dd52bd496ae8653b4804a8ce7e1c7f
  • a9fb96412e739f17075ed1dba6b0e4442e0efce06b33f657ecdfc33f115ff676
  • aae49aa30ff57d97291d3783a1717b3d80e1f67291a04bcf13b158f733c4274c
  • adcbabbc51d07202087b6d5911eff2ada0d128e85f252b8b954535c3db1460c0
  • aece788681d2a7a3bc76f78c65ec5418138dbd1f08bc042c4ef18c82946795c2
  • af7ddaa90b42edd1d35fad9c1c81d5e0548b0c40b38f23bc2e2ed3e8ee8db03f
  • b42bcb8acba2822d71a84608ee5da3c8cf80530eb0d09f74d7f12cbebbebb599
  • b6b7c1d52d9d6a3ef073485145e49d36eafac70cb0c8e0c94eedc115cd4a25ee
  • b715f22a9e37049d09b06c26ca899c4be3c6c21386f70d6d357b3bd481ee1794
  • ba94bfe5bcf3197f1e571ada6b710c4267283c596c09635182597dd46018043e
  • bb65b98c75ade7cbbf05d35e7a15b3c220f6e2c3262a5103f4d0844d1409289e
  • bbb8373549079c5fcf5b78a2a68cdf314d5814aad5fdd2f3493d0bc3929993e1
  • bd2779b87974a6e55bf1a3be54de3fd122c0d0d8249fd51855c055911bfd35cb
  • be5abb0c31679be378f4be5d8d099f37e7db1bbf3122be1f38f7df2b086a0a02
  • c1c8fdec79fe2c133c1bc0790eac7d01e86a0216a3fbec2ffa05597727225657
  • c1dadb7ed2a9ba97bd440dcfc18519da5887f473d9f635a0975d742fa3f80ee6
  • c5b499e886d8e86d0d85d0f73bc760516e7476442d3def2feeade417926f04a5
  • c68096eb0a655924ca840ea1c71f9372ac055f299b52335ad10ddfa835f3633d
  • cf95bdfd3a75f32ab9642104aee2ab879e90a4b791432951c360029815ff577f
  • cfce71839b1f7aca5e32fb72905f6e3ac4569982b47164ef25cd912699476811
  • d2729637265d3247b8872371a8579e3e042519edea0ced83c512163f66df554a
  • d4d02d34c9030cb481ed06f17be601fff474840cdcc260c7d740668536837eb4
  • e00b8b5ae5a8437186bcfb4115e2466590753f8c268609e5d62fd7f438c7faae
  • e74fa53cc4580d18def6e2f27ccce51c8b9634d3532f5406f6dd7dc7d0e15157
  • e8b64c06d1078d9d427679a43ef9e932f70ae83b50fc5a713d1fdf058019170a
  • e8b9ffb303bf651e1bd471e13e32fa556e25c326ce2757573b4fe43027bb7d07
  • ecaf6da2a4dbe72fca16b9a758ed0bc2751884d9315411285555d8781617ef58
  • ef6500e8a1743e01840063544cd4e880abcfe489283c0b32920f9347a77ac4e6
  • efb0bb2fa8929e4889eb982d7351e844af05b7efd0d0b721a2911d89f0a66eea
  • f0778ef6a8d569a4c3e0c2397cfc3b46c8a34afa2cb56b1211ad9ea7dd962299
  • f13e014ce258dc5ff00e43bd274751f773df0eefd69e44ef7ee4ce45461cc5e0
  • f210954c65b90a47be99cd8b977900e7a6cb6f04d5ba48fd8b315e586ff1f195
  • f210b8d8e984df19b27fb6184ed0212467c219b418b94b01003d5e6c11efdef3
  • f31fdeaeb4d38d2e3d3c5994bd65c87a669b7530933de881319fa07830b5adc4
  • f46076aa03b64da37d0c3e9a6b336fe276e60b0288c9351f7089b0605057323d
  • f5fe3540415b9cda7ae2f580adae1b8b40990c09741ed3cfe36a9bafffdc192a
  • f772b652176a6e40012969e05d1c75e3c51a8db4471245754975678f04dedaaa
  • f991735aa2fd2511053d615b56a59caa3dcdedfcea82d6d42512a07aeddb6dbf
  • feb3ab1217f993d9214bb0e1a9561709bd9a1172ceee719fa9051d9fa6aa9622
  • ffe9068a2c192ff8bbe3d7049d56fb3ba459c3822b56036e3eed7f5c07e118e1

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий