تم رصد قطعة من البرمجيات الخبيثة الجديدة لسرقة المعلومات تسمى OpcJacker في البرية منذ النصف الثاني من عام 2022 كجزء من حملة إعلانية خبيثة.
قال جارومير هوريجسي وجوزيف سي تشين الباحثان في تريند مايكرو: "تشمل الوظائف الرئيسية لـ OpcJacker تسجيل لوحة المفاتيح ، والتقاط لقطات شاشة ، وسرقة البيانات الحساسة من المتصفحات ، وتحميل وحدات إضافية ، واستبدال عناوين العملات المشفرة في الحافظة لأغراض الاختراق" .
يتضمن المتجه الأولي للحملة شبكة من مواقع الويب المزيفة تعلن عن برامج غير ضارة على ما يبدو وتطبيقات مرتبطة بالعملات المشفرة. خصصت حملة فبراير 2023 المستخدمين في إيران على وجه التحديد بذريعة تقديم خدمة VPN.
تعمل ملفات المثبِّت كقناة لنشر OpcJacker ، القادر أيضًا على توصيل حمولات المرحلة التالية مثل NetSupport RAT ومتغير حوسبة الشبكة الافتراضية المخفية ( hVNC ) للوصول عن بُعد.
يتم إخفاء OpcJacker باستخدام برنامج التشفير المعروف باسم Babadeda ويستخدم ملف التكوين لتنشيط وظائف تجميع البيانات الخاصة به. ويمكنه أيضًا تشغيل كود قشرة تعسفي وملفات تنفيذية.
قال Trend Micro "تنسيق ملف التكوين يشبه رمز بايت مكتوب بلغة آلة مخصصة ، حيث يتم تحليل كل تعليمات ، ويتم الحصول على أكواد التشغيل الفردية ، ثم يتم تنفيذ المعالج المحدد".
نظرًا لقدرة البرامج الضارة على سرقة أموال التشفير من المحافظ ، يُشتبه في أن تكون للحملات دوافع مالية. ومع ذلك ، فإن تعدد استخدامات OpcJacker يجعلها أيضًا أداة تحميل برامج ضارة مثالية.
تأتي هذه النتائج في الوقت الذي كشفت فيه Securonix عن تفاصيل حملة هجوم مستمرة يطلق عليها TACTICAL # OCTOPUS والتي تستهدف الكيانات الأمريكية ذات الإغراءات الضريبية لإصابتها بأبواب خلفية للوصول إلى أنظمة الضحايا بالإضافة إلى التقاط بيانات الحافظة وضربات المفاتيح.
في تطور ذي صلة ، تتم إعادة توجيه المستخدمين الإيطاليين والفرنسيين الذين يبحثون عن إصدارات متصدعة من برامج صيانة أجهزة الكمبيوتر مثل EaseUS Partition Master و Driver Easy Pro على YouTube إلى صفحات Blogger التي توزع قطارة NullMixer.
تبرز NullMixer أيضًا في إسقاط مجموعة واسعة من البرامج الضارة الجاهزة في وقت واحد ، بما في ذلك PseudoManuscrypt و Raccoon Stealer و GCleaner و Fabookie ومحمل البرامج الضارة الجديد المشار إليه باسم Crashtech Loader ، مما يؤدي إلى إصابات واسعة النطاق.