Rugmi Malware sprer seg gjennom falske sprekker og uenighet

En ny malware-laster er for tiden i bruk av trusselaktører for å spre ulike informasjonsstjevende enheter som Lumma Stealer (også kjent som LummaC2), Vidar, RecordBreaker (alternativt kjent som Raccoon Stealer V2) og Rescoms.

Cybersikkerhetsforskere overvåker aktivt denne trojaneren, og identifiserer den som Win/TrojanDownloader.Rugmi. Skadevaren består av tre nøkkelkomponenter: en nedlaster som er ansvarlig for å hente en kryptert nyttelast, en laster som kjører nyttelasten fra interne ressurser, og en annen laster som kjører nyttelasten fra en ekstern fil på disken.

I følge telemetridata levert av forskere, var deteksjoner for Rugmi-lasteren vitne til en betydelig økning i oktober og november 2023, og eskalerte fra ensifrede daglige forekomster til hundrevis per dag.

Skadevare fra tyveri, vanligvis distribuert gjennom en MaaS-modell (malware-as-a-service), er tilgjengelig for abonnement på andre trusselaktører. Lumma Stealer, for eksempel, annonseres på underjordiske fora til en månedlig rate på $250, med den dyreste planen som koster $20 000, og gir kundene tilgang til kildekoden og tillatelse til å selge den.

Det er indikasjoner på at kodebasen knyttet til Mars-, Arkei- og Vidar-tyvere har blitt brukt til å utvikle Lumma.

Skadelig programvare distribuert ved hjelp av forskjellige veier

Bortsett fra å stadig tilpasse unndragelsestaktikker, spres dette hyllevareverktøyet gjennom ulike metoder, alt fra malvertising og falske nettleseroppdateringer til sprukne installasjoner av populær programvare som VLC mediespiller og OpenAI ChatGPT. En annen metode innebærer å bruke Discords innholdsleveringsnettverk (CDN) for å være vert for og spre skadelig programvare.

Denne strategien innebærer å bruke en blanding av tilfeldige og kompromitterte Discord-kontoer for å sende direkte meldinger til potensielle mål, og lokke dem med tilbud som $10 eller et Discord Nitro-abonnement i bytte mot hjelp til et prosjekt. Brukere som aksepterer tilbudet blir bedt om å laste ned en kjørbar fil som er vert på Discord CDN, forkledd seg som iMagic Inventory, men som inneholder Lumma Stealer-nyttelasten.

Forskere understreket at forhåndsbygde malware-løsninger bidrar til spredning av ondsinnede kampanjer, og gjør skadelig programvare lett tilgjengelig selv for trusselaktører med potensielt lavere tekniske ferdigheter.