JinxLoader Malware oppkalt etter videospillkarakter

En nylig identifisert malware-laster ved navn JinxLoader, bygget på programmeringsspråket Go, blir nå brukt av trusselaktører for å levere påfølgende skadelige nyttelaster som Formbook og dets etterfølger XLoader. Cybersikkerhetsforskere har avslørt denne informasjonen, med vekt på bruken av flertrinns angrepssekvenser initiert gjennom phishing-kampanjer.

Forskere fremhevet at skadevaren, som hyller League of Legends-karakteren Jinx, har karakteren fremtredende på reklameplakaten og kommando-og-kontroll-påloggingspanelet. Dens primære formål er å laste og distribuere ytterligere skadelig programvare.

JinxLoader distribuert på Dark Web-fora

JinxLoader ble opprinnelig annonsert på hackforums[.]net 30. april 2023, med prisalternativer på $60 per måned, $120 per år, eller en livstidsavgift på $200.

Angrepskampanjene starter vanligvis med phishing-e-poster som utgir seg for å være Abu Dhabi National Oil Company (ADNOC). Disse e-postene oppfordrer mottakerne til å åpne passordbeskyttede RAR-arkivvedlegg. Ved åpning droppes den kjørbare JinxLoader, og fungerer som en gateway for den påfølgende distribusjonen av Formbook eller XLoader.

Denne utviklingen faller sammen med oppdagelsen av en økning i infeksjoner som involverer en ny lasterprogramvarefamilie kalt Rugmi, designet for å spre ulike informasjonstyvere. I tillegg er det en økning i kampanjer som distribuerer DarkGate og PikaBot. Trusselaktøren kjent som TA544 (aka Narwal Spider) utnytter nye varianter av loader malware kalt IDAT Loader for å distribuere Remcos RAT eller SystemBC malware.

For å fremheve det blomstrende markedet for tyverisk skadelig programvare, har forskere identifisert en ny familie kalt Vortex Stealer. Denne skadelige programvaren er i stand til å eksfiltrere nettleserdata, Discord-tokens, Telegram-økter, systeminformasjon og filer som er mindre enn 2 MB store.