Rugmi Malware spredes gennem falske revner og uenighed
En ny malware-indlæser er i øjeblikket i brug af trusselsaktører til at formidle forskellige informationstjælende enheder såsom Lumma Stealer (også kendt som LummaC2), Vidar, RecordBreaker (alternativt kendt som Raccoon Stealer V2) og Rescoms.
Cybersikkerhedsforskere overvåger aktivt denne trojaner og identificerer den som Win/TrojanDownloader.Rugmi. Malwaren består af tre nøglekomponenter: en downloader, der er ansvarlig for at hente en krypteret nyttelast, en indlæser, der udfører nyttelasten fra interne ressourcer, og en anden indlæser, der udfører nyttelasten fra en ekstern fil på disken.
Ifølge telemetridata leveret af forskere, oplevede detektioner for Rugmi-læsseren en betydelig stigning i oktober og november 2023, der eskalerede fra encifrede daglige tilfælde til hundredvis om dagen.
Stealer malware, der almindeligvis distribueres gennem en malware-as-a-service (MaaS) model, er tilgængelig for abonnement på andre trusselsaktører. Lumma Stealer, for eksempel, annonceres på underjordiske fora til en månedlig pris på $250, hvor den dyreste plan koster $20.000, hvilket giver kunderne adgang til kildekoden og tilladelse til at sælge den.
Der er indikationer på, at kodebasen forbundet med Mars-, Arkei- og Vidar-tyvere er blevet genbrugt til at udvikle Lumma.
Malware distribueret ved hjælp af forskellige veje
Bortset fra konstant at tilpasse unddragelsestaktikker, spredes dette hyldevareværktøj gennem forskellige metoder, lige fra malvertising og falske browseropdateringer til crackede installationer af populær software som VLC-medieafspiller og OpenAI ChatGPT. En anden metode involverer at bruge Discords indholdsleveringsnetværk (CDN) til at hoste og udbrede malwaren.
Denne strategi involverer at bruge en blanding af tilfældige og kompromitterede Discord-konti til at sende direkte beskeder til potentielle mål og lokke dem med tilbud som $10 eller et Discord Nitro-abonnement i bytte for hjælp til et projekt. Brugere, der accepterer tilbuddet, bliver bedt om at downloade en eksekverbar fil, der er hostet på Discord CDN, forklædt som iMagic Inventory, men som indeholder Lumma Stealer-nyttelasten.
Forskere understregede, at forudbyggede malware-løsninger bidrager til udbredelsen af ondsindede kampagner, hvilket gør malwaren let tilgængelig selv for trusselsaktører med potentielt lavere tekniske færdigheder.
