Rugmi マルウェアは偽のクラックと Discord を通じて拡散
現在、新しいマルウェア ローダーが、Lumma Stealer (LummaC2 とも呼ばれる)、Vidar、RecordBreaker (Raccoon Stealer V2 とも呼ばれる)、Rescoms などのさまざまな情報窃取エンティティを広めるために脅威アクターによって使用されています。
サイバーセキュリティ研究者はこのトロイの木馬を積極的に監視しており、Win/TrojanDownloader.Rugmi として特定しています。このマルウェアは、暗号化されたペイロードの取得を担当するダウンローダー、内部リソースからペイロードを実行するローダー、ディスク上の外部ファイルからペイロードを実行する別のローダーの 3 つの主要コンポーネントで構成されています。
研究者によって提供された遠隔測定データによると、Rugmi ローダーの検出数は 2023 年 10 月と 11 月に大幅に増加し、1 日あたり 1 桁の検出数から 1 日あたり数百件にまで増加しました。
スティーラー マルウェアは、一般にサービスとしてのマルウェア (MaaS) モデルを通じて配布され、他の脅威アクターのサブスクリプションに利用できます。たとえば、Lumma Stealer はアンダーグラウンド フォーラムで月額 250 ドルで宣伝されており、最も高価なプランでは 20,000 ドルかかり、顧客にソース コードへのアクセスと販売許可を提供します。
Mars、Arkei、Vidar のスティーラーに関連するコードベースが Lumma の開発に再利用された兆候があります。
さまざまな経路を使用して配布されるマルウェア
この既製のツールは、常に適応する回避戦術のほかに、マルバタイジングや偽のブラウザ更新から、VLC メディア プレーヤーや OpenAI ChatGPT などの人気ソフトウェアのクラックされたインストールに至るまで、さまざまな方法を通じて拡散されます。もう 1 つの方法では、Discord のコンテンツ配信ネットワーク (CDN) を利用してマルウェアをホストし、伝播させます。
この戦略には、ランダムなアカウントと侵害された Discord アカウントを組み合わせて潜在的なターゲットにダイレクト メッセージを送信し、プロジェクトへの支援と引き換えに 10 ドルや Discord Nitro サブスクリプションなどのオファーでターゲットを誘惑することが含まれます。オファーを受け入れるユーザーは、Discord CDN でホストされている実行可能ファイルをダウンロードするよう求められます。このファイルは iMagic Inventory を装っていますが、Lumma Stealer ペイロードが含まれています。
研究者らは、事前に構築されたマルウェア ソリューションが悪意のあるキャンペーンの蔓延に寄与し、潜在的に技術的スキルが低い攻撃者であってもマルウェアに簡単にアクセスできることを強調しました。