„JinxLoader“ kenkėjiška programa, pavadinta vaizdo žaidimų veikėjo vardu

Neseniai identifikuotas kenkėjiškų programų įkroviklis, pavadintas „JinxLoader“, sukurtas naudojant „Go“ programavimo kalbą, dabar naudojamas grėsmių subjektų, kad pateiktų vėlesnius kenkėjiškus krovinius, tokius kaip „Formbook“ ir jo įpėdinis „XLoader“. Kibernetinio saugumo tyrinėtojai atskleidė šią informaciją, pabrėždami daugiapakopių atakų sekų, inicijuotų per sukčiavimo kampanijas, naudojimą.

Tyrėjai pabrėžė, kad kenkėjiška programinė įranga, pagerbianti League of Legends veikėją Jinxą, aiškiai rodo veikėją reklaminiame plakate ir komandų bei valdymo prisijungimo skydelyje. Pagrindinis jo tikslas yra įkelti ir įdiegti papildomą kenkėjišką programą.

„JinxLoader“ platinama „Dark Web Forums“.

Iš pradžių „JinxLoader“ buvo reklamuojamas „hackforums[.]net“ 2023 m. balandžio 30 d. su 60 USD per mėnesį, 120 USD per metus arba 200 USD mokesčiu visam gyvenimui.

Atakos kampanijos paprastai prasideda nuo sukčiavimo el. laiškų, kurie apsimeta Abu Dabio nacionaline naftos kompanija (ADNOC). Šiuose el. laiškuose gavėjai raginami atidaryti slaptažodžiu apsaugotus RAR archyvo priedus. Atidarius JinxLoader vykdomasis failas atmetamas ir veikia kaip vartai tolesniam Formbook arba XLoader diegimui.

Šis vystymasis sutampa su infekcijų, susijusių su nauja įkroviklio kenkėjiškų programų šeima, vadinama Rugmi, aptikimu, padaugėjusiu, skirtu įvairiems informacijos vagystėms skleisti. Be to, daugėja kampanijų, platinančių „DarkGate“ ir „PikaBot“. Grėsmių veikėjas, žinomas kaip TA544 (dar žinomas kaip Narwal Spider), naudoja naujus įkroviklio kenkėjiškų programų variantus, vadinamus IDAT Loader, kad įdiegtų Remcos RAT arba SystemBC kenkėjiškas programas.

Pabrėždami klestinčią kenkėjiškų programų rinką, mokslininkai nustatė naują šeimą, pavadintą Vortex Stealer. Ši kenkėjiška programa gali išfiltruoti naršyklės duomenis, „Discord“ prieigos raktus, „Telegram“ seansus, sistemos informaciją ir failus, kurių dydis mažesnis nei 2 MB.