Злоумышленники используют новый загрузчик вредоносных программ для доставки широкого спектра похитителей информации, таких как Lumma Stealer (он же LummaC2), Vidar, RecordBreaker (он же Raccoon Stealer V2) и Rescoms.
Компания ESET, занимающаяся кибербезопасностью, отслеживает троянца под именем Win / TrojanDownloader.Rugmi.
"Это вредоносное ПО представляет собой загрузчик с тремя типами компонентов: загрузчик, который загружает зашифрованную полезную информацию, загрузчик, который запускает полезную информацию из внутренних ресурсов, и другой загрузчик, который запускает полезную информацию из внешнего файла на диске", - сообщила компания в своем отчете об угрозах H2 2023.
Данные телеметрии, собранные компанией, показывают, что количество обнаружений загрузчика Rugmi резко возросло в октябре и ноябре 2023 года, увеличившись с однозначных ежедневных цифр до сотен в день.
Вредоносное ПО Stealer обычно продается по модели "вредоносное ПО как услуга" (MaaS) другим субъектам угрозы по подписке. Lumma Stealer, например, рекламируется на подпольных форумах за 250 долларов в месяц. Самый дорогой тариф стоит 20 000 долларов, но он также дает клиентам доступ к исходному коду и право продавать его.
Есть основания предполагать, что кодовая база, связанная с программами-похитителями Mars, Arkei и Vidar, была перепрофилирована для создания Lumma.
Помимо постоянной адаптации своей тактики уклонения от обнаружения, готовый инструмент распространяется различными методами, начиная от вредоносной рекламы и заканчивая поддельными обновлениями браузера и взломанными установками популярного программного обеспечения, такого как VLC media player и OpenAI ChatGPT.
Другой метод связан с использованием сети доставки контента Discord (CDN) для размещения и распространения вредоносного ПО, как раскрыла компания Trend Micro в октябре 2023 года.
Это предполагает использование комбинации случайных и скомпрометированных учетных записей Discord для отправки прямых сообщений потенциальным целям, предлагая им 10 долларов или подписку Discord Nitro в обмен на их помощь в проекте.
Пользователям, которые соглашаются с предложением, предлагается загрузить исполняемый файл, размещенный на Discord CDN, который маскируется под iMagic Inventory, но на самом деле содержит полезную нагрузку Lumma Stealer.
"Готовые вредоносные решения способствуют распространению вредоносных кампаний, поскольку они делают вредоносное ПО доступным даже для потенциально менее технически подготовленных участников угроз", - заявили в ESET.
"Предлагая более широкий набор функций, Lumma Stealer становится еще более привлекательным продуктом".
Компания McAfee Labs раскрыла новую версию NetSupport RAT, которая появилась на основе своего законного предшественника NetSupport Manager и с тех пор используется брокерами начального доступа для сбора информации и выполнения дополнительных действий в отношении заинтересованных жертв.
"Заражение начинается с запутанных файлов JavaScript, которые служат начальной точкой проникновения вредоносного ПО", - сказал McAfee, добавив, что это подчеркивает "эволюционирующую тактику, используемую киберпреступниками".
Выполнение файла JavaScript продвигает цепочку атак, выполняя команды PowerShell для извлечения вредоносного ПО remote control и stealer с сервера, контролируемого участником. Основными целями кампании являются США и Канада.
Компания ESET, занимающаяся кибербезопасностью, отслеживает троянца под именем Win / TrojanDownloader.Rugmi.
"Это вредоносное ПО представляет собой загрузчик с тремя типами компонентов: загрузчик, который загружает зашифрованную полезную информацию, загрузчик, который запускает полезную информацию из внутренних ресурсов, и другой загрузчик, который запускает полезную информацию из внешнего файла на диске", - сообщила компания в своем отчете об угрозах H2 2023.
Данные телеметрии, собранные компанией, показывают, что количество обнаружений загрузчика Rugmi резко возросло в октябре и ноябре 2023 года, увеличившись с однозначных ежедневных цифр до сотен в день.
Вредоносное ПО Stealer обычно продается по модели "вредоносное ПО как услуга" (MaaS) другим субъектам угрозы по подписке. Lumma Stealer, например, рекламируется на подпольных форумах за 250 долларов в месяц. Самый дорогой тариф стоит 20 000 долларов, но он также дает клиентам доступ к исходному коду и право продавать его.
Есть основания предполагать, что кодовая база, связанная с программами-похитителями Mars, Arkei и Vidar, была перепрофилирована для создания Lumma.
Помимо постоянной адаптации своей тактики уклонения от обнаружения, готовый инструмент распространяется различными методами, начиная от вредоносной рекламы и заканчивая поддельными обновлениями браузера и взломанными установками популярного программного обеспечения, такого как VLC media player и OpenAI ChatGPT.
Другой метод связан с использованием сети доставки контента Discord (CDN) для размещения и распространения вредоносного ПО, как раскрыла компания Trend Micro в октябре 2023 года.
Это предполагает использование комбинации случайных и скомпрометированных учетных записей Discord для отправки прямых сообщений потенциальным целям, предлагая им 10 долларов или подписку Discord Nitro в обмен на их помощь в проекте.
Пользователям, которые соглашаются с предложением, предлагается загрузить исполняемый файл, размещенный на Discord CDN, который маскируется под iMagic Inventory, но на самом деле содержит полезную нагрузку Lumma Stealer.
"Готовые вредоносные решения способствуют распространению вредоносных кампаний, поскольку они делают вредоносное ПО доступным даже для потенциально менее технически подготовленных участников угроз", - заявили в ESET.
"Предлагая более широкий набор функций, Lumma Stealer становится еще более привлекательным продуктом".
Компания McAfee Labs раскрыла новую версию NetSupport RAT, которая появилась на основе своего законного предшественника NetSupport Manager и с тех пор используется брокерами начального доступа для сбора информации и выполнения дополнительных действий в отношении заинтересованных жертв.
"Заражение начинается с запутанных файлов JavaScript, которые служат начальной точкой проникновения вредоносного ПО", - сказал McAfee, добавив, что это подчеркивает "эволюционирующую тактику, используемую киберпреступниками".
Выполнение файла JavaScript продвигает цепочку атак, выполняя команды PowerShell для извлечения вредоносного ПО remote control и stealer с сервера, контролируемого участником. Основными целями кампании являются США и Канада.
