Rugmi 惡意軟體透過假裂縫和 Discord 傳播

目前，威脅行為者正在使用一種新穎的惡意軟體載入程式來傳播各種資訊竊取實體，例如 Lumma Stealer（也稱為 LummaC2）、Vidar、RecordBreaker（也稱為 Raccoon Stealer V2）和 Rescoms。

網路安全研究人員正在積極監控該木馬，將其識別為 Win/TrojanDownloader.Rugmi。此惡意軟體由三個關鍵元件組成：負責取得加密有效負載的下載程式、從內部資源執行有效負載的載入程式以及從磁碟上的外部檔案執行有效負載的另一個載入程式。

根據研究人員提供的遙測數據，Rugmi 裝載機的偵測量在 2023 年 10 月和 11 月大幅增加，從每日個位數上升到每天數百個。

竊取者惡意軟體通常透過惡意軟體即服務 (MaaS) 模式分發，可供其他威脅參與者訂閱。例如，Lumma Stealer 在地下論壇上以每月 250 美元的價格做廣告，最昂貴的計劃花費 20,000 美元，為客戶提供原始碼存取權和銷售權限。

有跡象表明，與 Mars、Arkei 和 Vidar 竊取者相關的程式碼庫已被重新用於開發 Lumma。

使用不同途徑分發的惡意軟體

除了不斷調整規避策略之外，這種現成的工具還透過各種方式傳播，從惡意廣告和虛假瀏覽器更新到 VLC 媒體播放器和 OpenAI ChatGPT 等流行軟體的破解安裝。另一種方法涉及利用 Discord 的內容交付網路 (CDN) 來託管和傳播惡意軟體。

該策略涉及使用隨機和受損的 Discord 帳戶的組合來向潛在目標發送直接訊息，以 10 美元或 Discord Nitro 訂閱等優惠來吸引他們，以換取對專案的幫助。接受該優惠的用戶會被提示下載託管在 Discord CDN 上的可執行文件，該文件偽裝成 iMagic Inventory，但包含 Lumma Stealer 有效負載。

研究人員強調，預先建置的惡意軟體解決方案有助於惡意活動的擴散，使得即使技術技能較低的威脅行為者也可以輕鬆存取惡意軟體。