JinxLoader Malware uppkallad efter videospelkaraktär

En nyligen identifierad malware-laddare vid namn JinxLoader, byggd på programmeringsspråket Go, används nu av hotaktörer för att leverera efterföljande skadliga nyttolaster som Formbook och dess efterföljare XLoader. Cybersäkerhetsforskare har avslöjat denna information och betonat användningen av flerstegsattacksekvenser som initierats genom nätfiskekampanjer.

Forskare framhöll att skadlig programvara, som hyllar League of Legends-karaktären Jinx, har karaktären på framträdande plats på sin reklamaffisch och kommando-och-kontrollinloggningspanel. Dess primära syfte är att ladda och distribuera ytterligare skadlig programvara.

JinxLoader distribueras på Dark Web-forum

JinxLoader annonserades ursprungligen på hackforums[.]net den 30 april 2023, med prisalternativ på $60 per månad, $120 per år eller en livstidsavgift på $200.

Attackkampanjerna börjar vanligtvis med nätfiske-e-postmeddelanden som imiterar Abu Dhabi National Oil Company (ADNOC). Dessa e-postmeddelanden uppmanar mottagarna att öppna lösenordsskyddade RAR-arkivbilagor. Vid öppning släpps den körbara JinxLoader-filen och fungerar som en gateway för den efterföljande distributionen av Formbook eller XLoader.

Denna utveckling sammanfaller med upptäckten av en ökning av infektioner som involverar en ny loader-skadlig programvara som heter Rugmi, designad för att sprida olika informationsstöldare. Dessutom finns det en ökning av kampanjer som distribuerar DarkGate och PikaBot. Hotaktören känd som TA544 (alias Narwal Spider) utnyttjar nya varianter av skadlig programvara som kallas IDAT Loader för att distribuera Remcos RAT eller SystemBC malware.

För att lyfta fram den blomstrande marknaden för skadlig programvara från stjälare har forskare identifierat en ny familj som heter Vortex Stealer. Denna skadliga programvara kan exfiltrera webbläsardata, Discord-tokens, telegramsessioner, systeminformation och filer som är mindre än 2 MB stora.