Złośliwe oprogramowanie Rugmi rozprzestrzenia się poprzez fałszywe pęknięcia i niezgody
Cyberprzestępcy używają obecnie nowatorskiego modułu ładującego złośliwe oprogramowanie do rozpowszechniania różnych podmiotów kradnących informacje, takich jak Lumma Stealer (znany również jako LummaC2), Vidar, RecordBreaker (alternatywnie znany jako Raccoon Stealer V2) i Rescoms.
Badacze zajmujący się cyberbezpieczeństwem aktywnie monitorują tego trojana, identyfikując go jako Win/TrojanDownloader.Rugmi. Szkodliwe oprogramowanie składa się z trzech kluczowych komponentów: modułu pobierającego odpowiedzialnego za pobranie zaszyfrowanej treści, modułu ładującego wykonującego ładunek z zasobów wewnętrznych oraz drugiego modułu ładującego wykonującego ładunek z zewnętrznego pliku na dysku.
Według danych telemetrycznych dostarczonych przez badaczy, w październiku i listopadzie 2023 r. nastąpił znaczny wzrost liczby wykrytych programów ładujących Rugmi, z jednocyfrowych dziennych przypadków do setek dziennie.
Złośliwe oprogramowanie, powszechnie dystrybuowane w modelu złośliwego oprogramowania jako usługi (MaaS), jest dostępne w ramach subskrypcji dla innych podmiotów zagrażających. Na przykład Lumma Stealer jest reklamowany na nielegalnych forach za miesięczną stawkę 250 dolarów, przy czym najdroższy plan kosztuje 20 000 dolarów, zapewniając klientom dostęp do kodu źródłowego i pozwolenie na jego sprzedaż.
Istnieją przesłanki wskazujące, że baza kodowa powiązana ze złodziejami Marsa, Arkei i Vidara została ponownie wykorzystana do opracowania Lummy.
Złośliwe oprogramowanie dystrybuowane różnymi drogami
Oprócz ciągłego dostosowywania taktyk unikania zagrożeń, to gotowe narzędzie jest rozpowszechniane różnymi metodami, począwszy od złośliwych reklam i fałszywych aktualizacji przeglądarki, po złamane instalacje popularnego oprogramowania, takiego jak odtwarzacz multimedialny VLC i OpenAI ChatGPT. Inna metoda polega na wykorzystaniu sieci dostarczania treści (CDN) firmy Discord do hostowania i rozprzestrzeniania złośliwego oprogramowania.
Strategia ta polega na wykorzystaniu kombinacji losowych i zainfekowanych kont Discord do wysyłania bezpośrednich wiadomości do potencjalnych celów, wabiąc je ofertami takimi jak 10 dolarów lub subskrypcja Discord Nitro w zamian za pomoc w projekcie. Użytkownicy, którzy akceptują ofertę, są proszeni o pobranie pliku wykonywalnego hostowanego w Discord CDN, podszywającego się pod iMagic Inventory, ale zawierającego ładunek Lumma Stealer.
Badacze podkreślili, że gotowe rozwiązania w zakresie szkodliwego oprogramowania przyczyniają się do rozprzestrzeniania szkodliwych kampanii, dzięki czemu szkodliwe oprogramowanie jest łatwo dostępne nawet dla cyberprzestępców o potencjalnie niższych umiejętnościach technicznych.
