JinxLoader-malware vernoemd naar videogamekarakter
Een onlangs geïdentificeerde malware-lader genaamd JinxLoader, gebouwd op de programmeertaal Go, wordt nu door bedreigingsactoren gebruikt om daaropvolgende kwaadaardige ladingen af te leveren, zoals Formbook en zijn opvolger XLoader. Cybersecurity-onderzoekers hebben deze informatie onthuld, waarbij ze de nadruk leggen op het gebruik van aanvalssequenties in meerdere stappen die worden geïnitieerd via phishing-campagnes.
Onderzoekers benadrukten dat de malware, een eerbetoon aan het League of Legends-personage Jinx, het personage prominent op de reclameposter en het command-and-control-inlogpaneel laat zien. Het primaire doel is het laden en inzetten van extra malware.
JinxLoader gedistribueerd op Dark Web-forums
JinxLoader werd voor het eerst geadverteerd op hackforums[.]net op 30 april 2023, met prijsopties van $60 per maand, $120 per jaar of een levenslange vergoeding van $200.
De aanvalscampagnes beginnen doorgaans met phishing-e-mails waarin de Abu Dhabi National Oil Company (ADNOC) wordt nagebootst. Deze e-mails dringen er bij de ontvangers op aan om met een wachtwoord beveiligde RAR-archiefbijlagen te openen. Bij het openen wordt het uitvoerbare bestand JinxLoader verwijderd en fungeert het als gateway voor de daaropvolgende implementatie van Formbook of XLoader.
Deze ontwikkeling valt samen met de ontdekking van een toename van het aantal infecties waarbij een nieuwe loader-malwarefamilie betrokken is, genaamd Rugmi, ontworpen om verschillende informatiestelers te verspreiden. Bovendien is er een toename in het aantal campagnes waarin DarkGate en PikaBot worden verspreid. De bedreigingsacteur die bekend staat als TA544 (ook bekend als Narwal Spider) maakt gebruik van nieuwe varianten van loader-malware genaamd IDAT Loader om Remcos RAT- of SystemBC-malware in te zetten.
Onderzoekers benadrukken de bloeiende markt voor stealer-malware en hebben een nieuwe familie geïdentificeerd, genaamd Vortex Stealer. Deze malware is in staat browsergegevens, Discord-tokens, Telegram-sessies, systeeminformatie en bestanden die kleiner zijn dan 2 MB te exfiltreren.