Rugmi Malware sprids genom falska sprickor och discord
En ny skadlig programvara används för närvarande av hotaktörer för att sprida olika informationsstöldande enheter som Lumma Stealer (även känd som LummaC2), Vidar, RecordBreaker (alternativt känd som Raccoon Stealer V2) och Rescoms.
Cybersäkerhetsforskare övervakar aktivt denna trojan och identifierar den som Win/TrojanDownloader.Rugmi. Skadlig programvara består av tre nyckelkomponenter: en laddare som ansvarar för att hämta en krypterad nyttolast, en laddare som exekverar nyttolasten från interna resurser och en annan laddare som exekverar nyttolasten från en extern fil på disken.
Enligt telemetridata från forskare upplevde detekteringarna för Rugmi-lastaren en betydande ökning i oktober och november 2023, och eskalerade från ensiffriga dagliga instanser till hundratals per dag.
Skadlig programvara för stjäl, vanligen distribuerad genom en MaaS-modell (malware-as-a-service), är tillgänglig för prenumeration på andra hotaktörer. Lumma Stealer, till exempel, annonseras på underjordiska forum till en månadspris på $250, där den dyraste planen kostar $20 000, vilket ger kunderna tillgång till källkoden och tillåtelse att sälja den.
Det finns indikationer på att kodbasen förknippad med Mars-, Arkei- och Vidar-stjuvarna har återanvänts för att utveckla Lumma.
Skadlig programvara distribueras med hjälp av olika vägar
Bortsett från att ständigt anpassa undanflyktstaktik, sprids detta färdiga verktyg genom olika metoder, allt från malvertising och falska webbläsaruppdateringar till knäckta installationer av populär programvara som VLC mediaspelare och OpenAI ChatGPT. En annan metod innebär att använda Discords innehållsleveransnätverk (CDN) för att vara värd för och sprida skadlig programvara.
Denna strategi innebär att man använder en blandning av slumpmässiga och komprometterade Discord-konton för att skicka direktmeddelanden till potentiella mål, och locka dem med erbjudanden som $10 eller en Discord Nitro-prenumeration i utbyte mot hjälp med ett projekt. Användare som accepterar erbjudandet uppmanas att ladda ner en körbar fil som finns på Discord CDN, förklädd som iMagic Inventory men som innehåller Lumma Stealer-nyttolasten.
Forskare betonade att förbyggda malware-lösningar bidrar till spridningen av skadliga kampanjer, vilket gör skadlig programvara lättillgänglig även för hotaktörer med potentiellt lägre tekniska färdigheter.
