Le logiciel malveillant JinxLoader nommé d'après un personnage de jeu vidéo
Un chargeur de malware récemment identifié nommé JinxLoader, construit sur le langage de programmation Go, est désormais utilisé par les acteurs malveillants pour diffuser des charges utiles malveillantes ultérieures telles que Formbook et son successeur XLoader. Les chercheurs en cybersécurité ont révélé cette information, en mettant l'accent sur l'utilisation de séquences d'attaques en plusieurs étapes initiées par des campagnes de phishing.
Les chercheurs ont souligné que le malware, rendant hommage au personnage de League of Legends, Jinx, met en évidence le personnage sur son affiche publicitaire et son panneau de connexion de commande et de contrôle. Son objectif principal est de charger et de déployer des logiciels malveillants supplémentaires.
JinxLoader distribué sur les forums du Dark Web
JinxLoader a été initialement annoncé sur hackforums[.]net le 30 avril 2023, avec des options de tarification de 60 $ par mois, 120 $ par an ou des frais à vie de 200 $.
Les campagnes d'attaque commencent généralement par des e-mails de phishing usurpant l'identité de la Abu Dhabi National Oil Company (ADNOC). Ces e-mails invitent les destinataires à ouvrir les pièces jointes d'archives RAR protégées par mot de passe. Lors de l'ouverture, l'exécutable JinxLoader est supprimé, agissant comme une passerelle pour le déploiement ultérieur de Formbook ou XLoader.
Cette évolution coïncide avec la découverte d'une augmentation des infections impliquant une nouvelle famille de malwares de chargement appelée Rugmi, conçue pour propager divers voleurs d'informations. De plus, les campagnes distribuant DarkGate et PikaBot se multiplient. L'acteur malveillant connu sous le nom de TA544 (alias Narwal Spider) exploite de nouvelles variantes de malware de chargement appelées IDAT Loader pour déployer le malware Remcos RAT ou SystemBC.
Mettant en évidence le marché florissant des logiciels malveillants voleurs, les chercheurs ont identifié une nouvelle famille appelée Vortex Stealer. Ce malware est capable d'exfiltrer les données du navigateur, les jetons Discord, les sessions Telegram, les informations système et les fichiers d'une taille inférieure à 2 Mo.
