JinxLoader rosszindulatú program, amelyet videojáték-karakterről neveztek el

A közelmúltban azonosított JinxLoader nevű rosszindulatú programbetöltőt, amely a Go programozási nyelvre épül, most a fenyegetés szereplői alkalmazzák a következő rosszindulatú rakományok szállítására, mint például a Formbook és az utódja, az XLoader. A kiberbiztonsági kutatók felfedték ezeket az információkat, hangsúlyozva az adathalász kampányok által kezdeményezett többlépcsős támadási sorozatok használatát.

A kutatók kiemelték, hogy a League of Legends karakter, Jinx előtt tisztelegve a rosszindulatú program jól láthatóan szerepel a reklámplakátján és a parancsnoki és vezérlő bejelentkezési panelen. Elsődleges célja további rosszindulatú programok betöltése és telepítése.

A JinxLoader a Dark Web fórumokon terjesztve

A JinxLoader-t először a hackforums[.]net-en hirdették meg 2023. április 30-án, havi 60 USD, évi 120 USD vagy 200 USD élettartamú díjszabással.

A támadási kampányok jellemzően adathalász e-mailekkel kezdődnek, amelyek az Abu Dhabi National Oil Company-t (ADNOC) adják ki. Ezek az e-mailek felszólítják a címzetteket, hogy nyissa meg a jelszóval védett RAR archív mellékleteket. Megnyitáskor a JinxLoader végrehajtható fájl eldobásra kerül, és átjáróként működik a Formbook vagy XLoader későbbi telepítéséhez.

Ez a fejlemény egybeesik a fertőzések növekedésének felfedezésével egy új, Rugmi nevű betöltő malware-családdal, amely különféle információlopók terjesztésére szolgál. Emellett a DarkGate-et és a PikaBot-ot terjesztő kampányok száma is megugrott. A TA544 (más néven Narwal Spider) fenyegetettség szereplője az IDAT Loader nevű betöltő rosszindulatú program új változatait használja a Remcos RAT vagy SystemBC kártevők telepítéséhez.

Kiemelve a lopakodó kártevők virágzó piacát, a kutatók egy új családot azonosítottak, Vortex Stealer néven. Ez a rosszindulatú program képes kiszűrni a böngészőadatokat, a Discord-tokeneket, a Telegram-munkameneteket, a rendszerinformációkat és a 2 MB-nál kisebb fájlokat.