Les logiciels malveillants Rugmi se propagent via de fausses fissures et Discord
Un nouveau chargeur de malware est actuellement utilisé par les acteurs malveillants pour diffuser diverses entités de vol d'informations telles que Lumma Stealer (également connu sous le nom de LummaC2), Vidar, RecordBreaker (également connu sous le nom de Raccoon Stealer V2) et Rescoms.
Les chercheurs en cybersécurité surveillent activement ce cheval de Troie et l'identifient comme Win/TrojanDownloader.Rugmi. Le malware comprend trois composants clés : un téléchargeur chargé de récupérer une charge utile cryptée, un chargeur exécutant la charge utile à partir de ressources internes et un autre chargeur exécutant la charge utile à partir d'un fichier externe sur le disque.
Selon les données télémétriques fournies par les chercheurs, les détections du chargeur Rugmi ont connu une augmentation significative en octobre et novembre 2023, passant de cas quotidiens à un chiffre à des centaines par jour.
Les logiciels malveillants voleurs, généralement distribués via un modèle de malware en tant que service (MaaS), sont disponibles pour abonnement à d'autres acteurs malveillants. Lumma Stealer, par exemple, est annoncé sur des forums clandestins au tarif mensuel de 250 dollars, le plan le plus cher coûtant 20 000 dollars, offrant aux clients l'accès au code source et l'autorisation de le vendre.
Il semble que la base de code associée aux voleurs de Mars, Arkei et Vidar ait été réutilisée pour développer Lumma.
Logiciels malveillants distribués via différentes voies
En plus d'adapter constamment les tactiques d'évasion, cet outil standard est diffusé via diverses méthodes, allant de la publicité malveillante et de fausses mises à jour de navigateur aux installations piratées de logiciels populaires tels que le lecteur multimédia VLC et OpenAI ChatGPT. Une autre méthode consiste à utiliser le réseau de diffusion de contenu (CDN) de Discord pour héberger et propager le logiciel malveillant.
Cette stratégie consiste à utiliser un mélange de comptes Discord aléatoires et compromis pour envoyer des messages directs à des cibles potentielles, en les attirant avec des offres telles que 10 $ ou un abonnement Discord Nitro en échange d'aide sur un projet. Les utilisateurs qui acceptent l'offre sont invités à télécharger un fichier exécutable hébergé sur Discord CDN, se déguisant en iMagic Inventory mais contenant la charge utile Lumma Stealer.
Les chercheurs ont souligné que les solutions malveillantes prédéfinies contribuent à la prolifération des campagnes malveillantes, rendant les logiciels malveillants facilement accessibles même aux acteurs malveillants ayant des compétences techniques potentiellement inférieures.