Rugmi 恶意软件通过虚假裂缝和 Discord 传播
目前,威胁行为者正在使用一种新颖的恶意软件加载程序来传播各种信息窃取实体,例如 Lumma Stealer(也称为 LummaC2)、Vidar、RecordBreaker(也称为 Raccoon Stealer V2)和 Rescoms。
网络安全研究人员正在积极监控该木马,将其识别为 Win/TrojanDownloader.Rugmi。该恶意软件由三个关键组件组成:负责获取加密有效负载的下载程序、从内部资源执行有效负载的加载程序以及从磁盘上的外部文件执行有效负载的另一个加载程序。
根据研究人员提供的遥测数据,Rugmi 装载机的检测量在 2023 年 10 月和 11 月大幅增加,从每日个位数上升到每天数百个。
窃取者恶意软件通常通过恶意软件即服务 (MaaS) 模型分发,可供其他威胁参与者订阅。例如,Lumma Stealer 在地下论坛上以每月 250 美元的价格做广告,最昂贵的计划花费 20,000 美元,为客户提供源代码访问权限和销售权限。
有迹象表明,与 Mars、Arkei 和 Vidar 窃取者相关的代码库已被重新用于开发 Lumma。
使用不同途径分发的恶意软件
除了不断调整规避策略之外,这种现成的工具还通过各种方式传播,从恶意广告和虚假浏览器更新到 VLC 媒体播放器和 OpenAI ChatGPT 等流行软件的破解安装。另一种方法涉及利用 Discord 的内容交付网络 (CDN) 来托管和传播恶意软件。
该策略涉及使用随机和受损的 Discord 帐户的组合来向潜在目标发送直接消息,以 10 美元或 Discord Nitro 订阅等优惠来吸引他们,以换取对项目的帮助。接受该优惠的用户会被提示下载托管在 Discord CDN 上的可执行文件,该文件伪装成 iMagic Inventory,但包含 Lumma Stealer 有效负载。
研究人员强调,预构建的恶意软件解决方案有助于恶意活动的扩散,使得即使技术技能较低的威胁行为者也可以轻松访问恶意软件。