O malware Rugmi se espalha por meio de rachaduras falsas e discórdia

Um novo carregador de malware está atualmente em uso por agentes de ameaças para disseminar várias entidades que roubam informações, como Lumma Stealer (também conhecido como LummaC2), Vidar, RecordBreaker (alternativamente conhecido como Raccoon Stealer V2) e Rescoms.

Os pesquisadores de segurança cibernética estão monitorando ativamente esse Trojan, identificando-o como Win/TrojanDownloader.Rugmi. O malware compreende três componentes principais: um downloader responsável por buscar uma carga criptografada, um carregador que executa a carga a partir de recursos internos e outro carregador que executa a carga a partir de um arquivo externo no disco.

De acordo com dados de telemetria fornecidos pelos pesquisadores, as detecções do carregador Rugmi testemunharam um aumento significativo em outubro e novembro de 2023, passando de ocorrências diárias de um dígito para centenas por dia.

O malware ladrão, comumente distribuído por meio de um modelo de malware como serviço (MaaS), está disponível para assinatura de outros atores de ameaças. O Lumma Stealer, por exemplo, é anunciado em fóruns clandestinos a uma taxa mensal de US$ 250, com o plano mais caro custando US$ 20 mil, proporcionando aos clientes acesso ao código-fonte e permissão para vendê-lo.

Há indicações de que a base de código associada aos ladrões de Marte, Arkei e Vidar foi reaproveitada para desenvolver Lumma.

Malware distribuído por diferentes vias

Além de adaptar constantemente táticas de evasão, essa ferramenta pronta para uso é disseminada por vários métodos, que vão desde malvertising e atualizações falsas de navegador até instalações crackeadas de softwares populares como VLC media player e OpenAI ChatGPT. Outro método envolve a utilização da rede de entrega de conteúdo (CDN) do Discord para hospedar e propagar o malware.

Essa estratégia envolve o emprego de uma combinação de contas Discord aleatórias e comprometidas para enviar mensagens diretas a alvos em potencial, atraindo-os com ofertas como US$ 10 ou uma assinatura do Discord Nitro em troca de assistência em um projeto. Os usuários que aceitam a oferta são solicitados a baixar um arquivo executável hospedado no Discord CDN, disfarçando-se como iMagic Inventory, mas contendo a carga útil do Lumma Stealer.

Os pesquisadores enfatizaram que as soluções de malware pré-construídas contribuem para a proliferação de campanhas maliciosas, tornando o malware facilmente acessível até mesmo para agentes de ameaças com habilidades técnicas potencialmente mais baixas.