A Rugmi rosszindulatú programok hamis repedéseken és viszályokon keresztül terjednek

A fenyegetés szereplői jelenleg egy új rosszindulatú programbetöltőt használnak különféle információlopó entitások terjesztésére, mint például a Lumma Stealer (más néven LummaC2), a Vidar, a RecordBreaker (más néven Raccoon Stealer V2) és a Rescoms.

A kiberbiztonsági kutatók aktívan figyelik ezt a trójai programot, és Win/TrojanDownloader.Rugmi néven azonosítják. A rosszindulatú program három kulcsfontosságú összetevőből áll: egy letöltőből, amely a titkosított rakomány lekéréséért felelős, egy betöltőből, amely a hasznos terhet hajtja végre a belső erőforrásokból, és egy másik betöltőből, amely a rakományt a lemezen lévő külső fájlból hajtja végre.

A kutatók által szolgáltatott telemetriai adatok szerint a Rugmi rakodó észlelései 2023 októberében és novemberében jelentős növekedést mutattak, az egyszámjegyű napi példányszámról napi százra nőtt.

A lopakodó kártevők, amelyeket általában a malware-as-a-service (MaaS) modellen keresztül terjesztenek, más fenyegető szereplők számára is előfizethetők. A Lumma Stealert például földalatti fórumokon hirdetik 250 dolláros havi áron, a legdrágább csomag 20 000 dollárba kerül, és hozzáférést biztosít az ügyfeleknek a forráskódhoz és az eladási engedélyhez.

A jelek szerint a Mars-, Arkei- és Vidar-lopókkal kapcsolatos kódbázist újra felhasználták a Lumma fejlesztésére.

Különböző utakon terjesztett rosszindulatú programok

A folyamatosan adaptált kijátszási taktikák mellett ezt a készen álló eszközt különféle módszerekkel terjesztik, kezdve a rosszindulatú hirdetésektől és a hamis böngészőfrissítésektől a népszerű szoftverek, például a VLC médialejátszó és az OpenAI ChatGPT feltört telepítéseiig. Egy másik módszer a Discord tartalomszolgáltató hálózatának (CDN) használata a rosszindulatú programok hosztolására és terjesztésére.

Ez a stratégia véletlenszerű és kompromittált Discord-fiókok keverékének alkalmazását foglalja magában, hogy közvetlen üzeneteket küldhessenek a potenciális célpontoknak, például 10 dolláros ajánlatokkal vagy Discord Nitro előfizetéssel csábítsák őket egy projektben való segítségért cserébe. Az ajánlatot elfogadó felhasználóknak egy Discord CDN-en tárolt futtatható fájl letöltése kell, amely iMagic Inventory-nak álcázza magát, de tartalmazza a Lumma Stealer hasznos terhét.

A kutatók hangsúlyozták, hogy az előre elkészített kártevő-megoldások hozzájárulnak a rosszindulatú kampányok elterjedéséhez, így a kártevő könnyen elérhetővé válik a potenciálisan alacsonyabb technikai tudással rendelkező fenyegetett szereplők számára is.