Το κακόβουλο λογισμικό Rugmi εξαπλώνεται μέσω ψεύτικων ρωγμών και διχόνοιας
Ένας νέος φορτωτής κακόβουλου λογισμικού χρησιμοποιείται αυτήν τη στιγμή από φορείς απειλών για τη διάδοση διαφόρων οντοτήτων κλοπής πληροφοριών όπως το Lumma Stealer (επίσης γνωστό ως LummaC2), το Vidar, το RecordBreaker (εναλλακτικά γνωστό ως Raccoon Stealer V2) και το Rescoms.
Οι ερευνητές κυβερνοασφάλειας παρακολουθούν ενεργά αυτόν τον Trojan, προσδιορίζοντάς τον ως Win/TrojanDownloader.Rugmi. Το κακόβουλο λογισμικό περιλαμβάνει τρία βασικά στοιχεία: ένα πρόγραμμα λήψης που είναι υπεύθυνο για την ανάκτηση ενός κρυπτογραφημένου ωφέλιμου φορτίου, έναν φορτωτή που εκτελεί το ωφέλιμο φορτίο από εσωτερικούς πόρους και έναν άλλο φορτωτή που εκτελεί το ωφέλιμο φορτίο από ένα εξωτερικό αρχείο στο δίσκο.
Σύμφωνα με δεδομένα τηλεμετρίας που παρείχαν ερευνητές, οι ανιχνεύσεις για τον φορτωτή Rugmi παρουσίασαν σημαντική αύξηση τον Οκτώβριο και τον Νοέμβριο του 2023, που κλιμακώθηκε από μονοψήφιες ημερήσιες περιπτώσεις σε εκατοντάδες την ημέρα.
Το κακόβουλο λογισμικό κλοπής, που διανέμεται συνήθως μέσω ενός μοντέλου κακόβουλου λογισμικού ως υπηρεσία (MaaS), είναι διαθέσιμο για συνδρομή σε άλλους παράγοντες απειλής. Το Lumma Stealer, για παράδειγμα, διαφημίζεται σε υπόγεια φόρουμ με μηνιαίο επιτόκιο 250 $, με το πιο ακριβό πρόγραμμα να κοστίζει 20.000 $, παρέχοντας στους πελάτες πρόσβαση στον πηγαίο κώδικα και άδεια να το πουλήσουν.
Υπάρχουν ενδείξεις ότι η βάση κωδικών που σχετίζεται με τους κλέφτες Mars, Arkei και Vidar έχει επανασχεδιαστεί για την ανάπτυξη του Lumma.
Κακόβουλο λογισμικό που διανέμεται με χρήση διαφορετικών λεωφόρων
Εκτός από τη συνεχή προσαρμογή των τακτικών αποφυγής, αυτό το εργαλείο εκτός ραφιού διαδίδεται με διάφορες μεθόδους, που κυμαίνονται από κακόβουλη διαφήμιση και ψεύτικες ενημερώσεις προγράμματος περιήγησης έως σπασμένες εγκαταστάσεις δημοφιλούς λογισμικού όπως το πρόγραμμα αναπαραγωγής πολυμέσων VLC και το OpenAI ChatGPT. Μια άλλη μέθοδος περιλαμβάνει τη χρήση του δικτύου παράδοσης περιεχομένου (CDN) του Discord για τη φιλοξενία και τη διάδοση του κακόβουλου λογισμικού.
Αυτή η στρατηγική περιλαμβάνει τη χρήση ενός μείγματος τυχαίων και παραβιασμένων λογαριασμών Discord για την αποστολή απευθείας μηνυμάτων σε πιθανούς στόχους, προσελκύοντάς τους προσφορές όπως $10 ή μια συνδρομή Discord Nitro σε αντάλλαγμα για βοήθεια σε ένα έργο. Οι χρήστες που αποδέχονται την προσφορά καλούνται να πραγματοποιήσουν λήψη ενός εκτελέσιμου αρχείου που φιλοξενείται στο Discord CDN, το οποίο μεταμφιέζεται ως Απόθεμα iMagic αλλά περιέχει το ωφέλιμο φορτίο Lumma Stealer.
Οι ερευνητές τόνισαν ότι οι προκατασκευασμένες λύσεις κακόβουλου λογισμικού συμβάλλουν στον πολλαπλασιασμό κακόβουλων καμπανιών, καθιστώντας το κακόβουλο λογισμικό εύκολα προσβάσιμο ακόμη και σε παράγοντες απειλών με δυνητικά χαμηλότερες τεχνικές δεξιότητες.
