Вредоносное ПО Rugmi распространяется через фейковые трещины и раздоры
Новый загрузчик вредоносного ПО в настоящее время используется злоумышленниками для распространения различных объектов, занимающихся кражей информации, таких как Lumma Stealer (также известный как LummaC2), Vidar, RecordBreaker (альтернативно известный как Raccoon Stealer V2) и Rescoms.
Исследователи кибербезопасности активно отслеживают этот троян, идентифицируя его как Win/TrojanDownloader.Rugmi. Вредоносное ПО состоит из трех ключевых компонентов: загрузчик, отвечающий за получение зашифрованных полезных данных, загрузчик, выполняющий полезные данные из внутренних ресурсов, и еще один загрузчик, выполняющий полезные данные из внешнего файла на диске.
Согласно телеметрическим данным, предоставленным исследователями, в октябре и ноябре 2023 года количество обнаружений погрузчика Rugmi резко возросло: от единичных случаев в день до сотен.
Вредоносное ПО-стилер, обычно распространяемое по модели «вредоносное ПО как услуга» (MaaS), доступно по подписке другим субъектам угроз. Lumma Stealer, например, рекламируется на подпольных форумах по ежемесячной ставке 250 долларов США, причем самый дорогой план стоит 20 000 долларов США, предоставляя клиентам доступ к исходному коду и разрешение на его продажу.
Есть признаки того, что кодовая база, связанная со стикерами Mars, Arkei и Vidar, была перепрофилирована для разработки Lumma.
Вредоносное ПО распространяется разными способами
Помимо постоянной адаптации тактики уклонения от атак, этот готовый инструмент распространяется различными методами: от вредоносной рекламы и фейковых обновлений браузера до взломанных установок популярного программного обеспечения, такого как медиаплеер VLC и OpenAI ChatGPT. Другой метод предполагает использование сети доставки контента (CDN) Discord для размещения и распространения вредоносного ПО.
Эта стратегия предполагает использование случайных и скомпрометированных учетных записей Discord для отправки прямых сообщений потенциальным целям, соблазняя их такими предложениями, как 10 долларов или подписка на Discord Nitro в обмен на помощь в проекте. Пользователям, которые принимают предложение, предлагается загрузить исполняемый файл, размещенный на Discord CDN, маскирующийся под iMagic Inventory, но содержащий полезную нагрузку Lumma Stealer.
Исследователи подчеркнули, что готовые решения для вредоносного ПО способствуют распространению вредоносных кампаний, делая вредоносное ПО легко доступным даже для злоумышленников с потенциально более низкими техническими навыками.
