OpcJacker è il nuovo crypto-stealer. L’infostealer ruba criptovalute e si diffonde, mascherandosi da finta VPN. Dopo essere apparso nella seconda metà 2022 come parte di una campagna di malvertising, il suo punto di forza è il vettore dell’infezione.
“Gli infostealer sono degli assoluti evergreen per il cyber crime”, commenta Pierguido Iezzi, Ceo di Swascan. Ecco come proteggersi.
Indice degli argomenti
OpcJacker: il nuovo crypto-stealer
“Le principali funzionalità di OpcJacker includono il keylogging, la capacità di catturare screenshot, rubare dati sensibili dai browser, caricare moduli aggiuntivi e sostituire gli indirizzi di criptovalute nella clipboard a scopo di hijacking“, affermano i ricercatori di Trend Micro, Jaromir Horejsi e Joseph C. Chen.
Il vettore iniziale della campagna di malvertising coinvolge una rete di siti web fasulli pubblicitari che sembrano innocui software ed applicazioni riferite al mondo crypto. Lo scorso febbraio una campagna prendeva di mira gli utenti iraniani, che vivono sotto una feroce dittatura, con il pretesto di offrire loro un servizio VPN.
Lo schema d’attacco
I file di installer agiscono come un canale di distribuzione di OpcJacker, che è anche in grado di distribuire payload come NetSupport RAT e una variante di hidden virtual network computing (hVNC) per effettuare accessi da remoto.
OpcJacker è nascosto grazie a un crypter noto come Babadeda e fa uso di un file di configurazione per attivare le sue funzioni di raccolta dati. Può inoltre far girare shellcode arbitrarie ed eseguibili.
“La configurazione del formato file assomiglia a un bytecode scritto in un machine language personalizzato, in modo tale da analizzare ogni istruzione, ottenere codici operativi individuali e quindi eseguire specifiche attività da gestire”, aggiunge Trend Micro.
Infatti “nell’era dell’AI commerciale la vera pericolosità di questi malware non è tanto più nel codice”, avverte Iezzi, “che può essere facilmente creato grazie alle tecnologie emergenti (da ChatGPT a Bard), quanto il vettore dell’infezione. Più sarà efficace il delivery più avrà successo l’infostealer“.
Vista la capacità del malware di rubare fondi crypto dai portafogli digitali, infine, a muovere la campagna sono soprattutto motivazioni finanziarie. Ma la versatilità di OpcJacker lo rende un malware loader ideale ed è il suo punto di forza.
Come proteggersi
Securonix ha infatti rilevato una campagna d’attacco nominata Tactical#Octopus mirata su entità statunitensi a tema fiscale, da infettare con backdoor per ottenere l’accesso ai sistemi delle vittime.
Gli utenti italiani e francesi che cercano versioni crackate di software di mantenimento PC come EaseUS Partition Master e Driver Easy Pro su YouTube vengono rediretti a pagine di blog che distribuiscono il dropper NullMixer. Il dropper diffonde malware come PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie e un nuovo loader definito Crashtech Loader.
“Nel primo trimestre 2023, come a breve verrà riportato nel prossimo report realizzato dal Soc e CTI team di Swascan, RecordBreaker – erede di Raccoon 2.0 – è stato il terzo malware più tracciato dai nostri sistemi di cyber threat intelligence”, conclude Iezzi per dimostrare quanto gli infostealer siano temibili.
Il consiglio è di tenere alta la guardia e ricordarsi che la migliore arma di difesa è la consapevolezza. Non bisogna mai scaricare software contraffatti, ma il download di app e programmi si effettuano dai marketplace ufficiali.
