„Rugmi“ kenkėjiška programa plinta per netikrus įtrūkimus ir nesutarimus
Šiuo metu grėsmės veikėjai naudoja naują kenkėjiškų programų įkroviklį, skirtą įvairiems informaciją vagintiems subjektams, pvz., Lumma Stealer (taip pat žinomas kaip LummaC2), Vidar, RecordBreaker (arba Raccoon Stealer V2) ir Rescoms, platinti.
Kibernetinio saugumo tyrinėtojai aktyviai stebi šį Trojos arklį, identifikuodami jį kaip Win/TrojanDownloader.Rugmi. Kenkėjišką programinę įrangą sudaro trys pagrindiniai komponentai: parsisiuntimo programa, atsakinga už šifruoto naudingojo krovinio gavimą, įkroviklis, vykdantis naudingą apkrovą iš vidinių išteklių, ir kitas įkroviklis, vykdantis naudingą apkrovą iš išorinio failo diske.
Remiantis tyrėjų pateiktais telemetrijos duomenimis, 2023 m. spalį ir lapkritį „Rugmi“ krautuvo aptikimo atvejų skaičius išaugo nuo vienženklių kasdienių atvejų iki šimtų per dieną.
Kenkėjiškos programinės įrangos, dažniausiai platinamos naudojant „MaaS“ (malware-as-a-service) modelį, prenumerata gali būti prieinama kitiems grėsmės veikėjams. Pavyzdžiui, „Lumma Stealer“ reklamuojamas požeminiuose forumuose už 250 USD mėnesinį tarifą, o brangiausias planas kainuoja 20 000 USD, suteikiant klientams prieigą prie šaltinio kodo ir leidimą jį parduoti.
Yra požymių, kad kodų bazė, susijusi su Marso, Arkei ir Vidaro vagimis, buvo panaudota kuriant Lumma.
Kenkėjiška programa platinama skirtingais būdais
Be nuolat pritaikomų vengimo taktikos, šis paruoštas įrankis platinamas įvairiais būdais, pradedant nuo kenkėjiškų reklamavimo ir netikrų naršyklės atnaujinimų iki nulaužtų populiarios programinės įrangos, pvz., VLC medijos leistuvo ir OpenAI ChatGPT, diegimų. Kitas būdas apima „Discord“ turinio pristatymo tinklo (CDN) naudojimą kenkėjiškų programų prieglobai ir platinimui.
Ši strategija apima atsitiktinių ir pažeistų „Discord“ paskyrų derinį, norint siųsti tiesioginius pranešimus potencialiems tikslams, suviliojant juos tokiais pasiūlymais kaip 10 USD arba „Discord Nitro“ prenumerata mainais už pagalbą įgyvendinant projektą. Naudotojai, kurie sutinka su pasiūlymu, raginami atsisiųsti vykdomąjį failą, priglobtą Discord CDN, užmaskuojantį save kaip „iMagic Inventory“, bet turintį „Lumma Stealer“ naudingąjį apkrovą.
Tyrėjai pabrėžė, kad iš anksto sukurti kenkėjiškų programų sprendimai prisideda prie kenkėjiškų kampanijų plitimo, todėl kenkėjiška programa lengvai pasiekiama net ir potencialiai žemesnius techninius įgūdžius turintiems grėsmės veikėjams.
