Złośliwe oprogramowanie JinxLoader nazwane na cześć postaci z gry wideo
Niedawno zidentyfikowany moduł ładujący złośliwe oprogramowanie o nazwie JinxLoader, zbudowany w oparciu o język programowania Go, jest obecnie wykorzystywany przez cyberprzestępców do dostarczania kolejnych szkodliwych ładunków, takich jak Formbook i jego następca XLoader. Badacze cyberbezpieczeństwa ujawnili te informacje, podkreślając wykorzystanie wieloetapowych sekwencji ataków inicjowanych poprzez kampanie phishingowe.
Badacze podkreślili, że szkodliwe oprogramowanie, składające hołd bohaterce League of Legends, Jinx, w widocznym miejscu przedstawia tę postać na plakacie reklamowym oraz panelu logowania do zarządzania i kontroli. Jego głównym celem jest ładowanie i wdrażanie dodatkowego złośliwego oprogramowania.
JinxLoader rozpowszechniany na forach Dark Web
JinxLoader był początkowo reklamowany na hackforums[.]net 30 kwietnia 2023 r. z opcjami cenowymi wynoszącymi 60 USD miesięcznie, 120 USD rocznie lub dożywotnią opłatą w wysokości 200 USD.
Kampanie ataków zazwyczaj rozpoczynają się od wiadomości e-mail phishingowych podszywających się pod przedsiębiorstwo Abu Dhabi National Oil Company (ADNOC). Te e-maile namawiają odbiorców do otwierania chronionych hasłem załączników archiwum RAR. Po otwarciu plik wykonywalny JinxLoader jest usuwany, działając jako brama do późniejszego wdrożenia Formbook lub XLoader.
Rozwój ten zbiega się z odkryciem wzrostu liczby infekcji związanych z nową rodziną szkodliwego oprogramowania ładującego o nazwie Rugmi, mającą na celu rozprzestrzenianie różnych programów kradnących informacje. Ponadto obserwuje się wzrost liczby kampanii dystrybuujących DarkGate i PikaBot. Ugrupowanie zagrażające znane jako TA544 (znane również jako Narwal Spider) wykorzystuje nowe warianty szkodliwego oprogramowania ładującego o nazwie IDAT Loader do wdrażania złośliwego oprogramowania Remcos RAT lub SystemBC.
Podkreślając kwitnący rynek kradnącego złośliwego oprogramowania, badacze zidentyfikowali nową rodzinę o nazwie Vortex Stealer. To złośliwe oprogramowanie może wydobywać dane przeglądarki, tokeny Discord, sesje Telegramu, informacje o systemie i pliki o rozmiarze mniejszym niż 2 MB.