JinxLoader Malware opkaldt efter videospilkarakter

En nyligt identificeret malware-indlæser ved navn JinxLoader, bygget på Go-programmeringssproget, bliver nu brugt af trusselsaktører til at levere efterfølgende ondsindede nyttelaster såsom Formbook og dets efterfølger XLoader. Cybersikkerhedsforskere har afsløret disse oplysninger og understreger brugen af flertrinsangrebssekvenser initieret gennem phishing-kampagner.

Forskere fremhævede, at malwaren, der hylder League of Legends-karakteren Jinx, fremtrædende har karakteren på dens reklameplakat og kommando-og-kontrol-login-panelet. Dens primære formål er at indlæse og implementere yderligere malware.

JinxLoader distribueret på Dark Web-fora

JinxLoader blev oprindeligt annonceret på hackforums[.]net den 30. april 2023 med prismuligheder på $60 pr. måned, $120 pr. år eller et livstidsgebyr på $200.

Angrebskampagnerne begynder typisk med phishing-e-mails, der efterligner Abu Dhabi National Oil Company (ADNOC). Disse e-mails opfordrer modtagere til at åbne adgangskodebeskyttede RAR-arkivvedhæftede filer. Ved åbning droppes den eksekverbare JinxLoader, der fungerer som en gateway for den efterfølgende implementering af Formbook eller XLoader.

Denne udvikling falder sammen med opdagelsen af en stigning i infektioner, der involverer en ny loader malware-familie kaldet Rugmi, designet til at sprede forskellige informationstyve. Derudover er der en stigning i kampagner, der distribuerer DarkGate og PikaBot. Trusselsaktøren kendt som TA544 (aka Narwal Spider) udnytter nye varianter af loader-malware kaldet IDAT Loader til at implementere Remcos RAT eller SystemBC-malware.

For at fremhæve det blomstrende marked for tyvere-malware har forskere identificeret en ny familie kaldet Vortex Stealer. Denne malware er i stand til at eksfiltrere browserdata, Discord-tokens, Telegram-sessioner, systemoplysninger og filer, der er mindre end 2 MB i størrelse.