JinxLoader Malware με το όνομα του χαρακτήρα βιντεοπαιχνιδιού
Ένας φορτωτής κακόβουλου λογισμικού που εντοπίστηκε πρόσφατα με το όνομα JinxLoader, χτισμένος στη γλώσσα προγραμματισμού Go, χρησιμοποιείται τώρα από φορείς απειλών για την παράδοση επακόλουθων κακόβουλων φορτίων όπως το Formbook και ο διάδοχός του XLoader. Οι ερευνητές της κυβερνοασφάλειας αποκάλυψαν αυτές τις πληροφορίες, δίνοντας έμφαση στη χρήση αλληλουχιών επιθέσεων πολλαπλών βημάτων που ξεκινούν μέσω εκστρατειών phishing.
Οι ερευνητές τόνισαν ότι το κακόβουλο λογισμικό, που αποτίει φόρο τιμής στον χαρακτήρα Jinx του League of Legends, εμφανίζει ευδιάκριτα τον χαρακτήρα στη διαφημιστική του αφίσα και στον πίνακα σύνδεσης εντολών και ελέγχου. Ο πρωταρχικός του σκοπός είναι να φορτώσει και να αναπτύξει επιπλέον κακόβουλο λογισμικό.
Το JinxLoader διανέμεται σε φόρουμ του Dark Web
Το JinxLoader διαφημίστηκε αρχικά στο hackforums[.]net στις 30 Απριλίου 2023, με επιλογές τιμολόγησης 60 $ ανά μήνα, 120 $ ετησίως ή με χρέωση διάρκειας ζωής 200 $.
Οι εκστρατείες επίθεσης συνήθως ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος που υποδύονται την Εθνική Εταιρεία Πετρελαίου του Άμπου Ντάμπι (ADNOC). Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προτρέπουν τους παραλήπτες να ανοίξουν συνημμένα αρχείου RAR που προστατεύονται με κωδικό πρόσβασης. Με το άνοιγμα, το εκτελέσιμο αρχείο JinxLoader απορρίπτεται, λειτουργώντας ως πύλη για την επακόλουθη ανάπτυξη του Formbook ή του XLoader.
Αυτή η εξέλιξη συμπίπτει με την ανακάλυψη μιας αύξησης των μολύνσεων που περιλαμβάνει μια νέα οικογένεια κακόβουλου λογισμικού φορτωτή που ονομάζεται Rugmi, που έχει σχεδιαστεί για τη διάδοση διαφόρων κλεφτών πληροφοριών. Επιπλέον, υπάρχει μια αύξηση στις καμπάνιες που διανέμουν το DarkGate και το PikaBot. Ο παράγοντας απειλής γνωστός ως TA544 (γνωστός και ως Narwal Spider) αξιοποιεί νέες παραλλαγές κακόβουλου λογισμικού φορτωτή που ονομάζεται IDAT Loader για να αναπτύξει κακόβουλο λογισμικό Remcos RAT ή SystemBC.
Υπογραμμίζοντας την ακμάζουσα αγορά για κακόβουλο λογισμικό κλοπής, οι ερευνητές εντόπισαν μια νέα οικογένεια που ονομάζεται Vortex Stealer. Αυτό το κακόβουλο λογισμικό έχει τη δυνατότητα να εκμεταλλεύεται δεδομένα προγράμματος περιήγησης, διακριτικά Discord, περιόδους σύνδεσης Telegram, πληροφορίες συστήματος και αρχεία μεγέθους μικρότερου από 2 MB.