Il malware Rugmi si diffonde attraverso falsi crack e discordie

Un nuovo caricatore di malware è attualmente utilizzato dagli autori delle minacce per diffondere varie entità che rubano informazioni come Lumma Stealer (noto anche come LummaC2), Vidar, RecordBreaker (in alternativa noto come Raccoon Stealer V2) e Rescoms.

I ricercatori di sicurezza informatica stanno monitorando attivamente questo Trojan, identificandolo come Win/TrojanDownloader.Rugmi. Il malware è composto da tre componenti chiave: un downloader responsabile del recupero di un payload crittografato, un caricatore che esegue il payload da risorse interne e un altro caricatore che esegue il payload da un file esterno sul disco.

Secondo i dati di telemetria forniti dai ricercatori, i rilevamenti per il caricatore Rugmi hanno registrato un aumento significativo nei mesi di ottobre e novembre 2023, passando da istanze giornaliere a una cifra a centinaia al giorno.

Il malware stealer, comunemente distribuito tramite un modello MaaS (malware-as-a-service), è disponibile per l'abbonamento ad altri autori di minacce. Lumma Stealer, ad esempio, è pubblicizzato sui forum clandestini a una tariffa mensile di 250 dollari, con il piano più costoso che costa 20.000 dollari, fornendo ai clienti l'accesso al codice sorgente e il permesso di venderlo.

Ci sono indicazioni che il codice base associato ai ladri di Marte, Arkei e Vidar sia stato riproposto per sviluppare Lumma.

Malware distribuito utilizzando vie diverse

Oltre ad adattare costantemente le tattiche di evasione, questo strumento standard viene diffuso attraverso vari metodi, che vanno dal malvertising e dagli aggiornamenti falsi del browser alle installazioni crackate di software popolari come VLC media player e OpenAI ChatGPT. Un altro metodo prevede l'utilizzo della rete di distribuzione dei contenuti (CDN) di Discord per ospitare e propagare il malware.

Questa strategia prevede l'utilizzo di un mix di account Discord casuali e compromessi per inviare messaggi diretti a potenziali obiettivi, attirandoli con offerte come $ 10 o un abbonamento Discord Nitro in cambio di assistenza su un progetto. Agli utenti che accettano l'offerta viene richiesto di scaricare un file eseguibile ospitato su Discord CDN, mascherandosi da iMagic Inventory ma contenente il payload Lumma Stealer.

I ricercatori hanno sottolineato che le soluzioni malware predefinite contribuiscono alla proliferazione di campagne dannose, rendendo il malware facilmente accessibile anche agli autori delle minacce con competenze tecniche potenzialmente inferiori.