Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
Новый загрузчик вредоносных программ на базе Go под названием JinxLoader используется участниками угроз для доставки полезных нагрузок следующего этапа, таких как Formbook и его преемник XLoader.
Раскрытие информации исходит от компаний по кибербезопасности Palo Alto Networks Unit 42 и Symantec, обе из которых выделили многоступенчатые последовательности атак, которые привели к развертыванию JinxLoader посредством фишинговых атак.
"Вредоносная программа отдает дань уважения персонажу League of Legends Джинксу, изображая персонажа на рекламном плакате и панели входа в систему [command-and-control]", - заявили в Symantec. "Основная функция JinxLoader проста – загрузка вредоносных программ".
В конце ноября 2023 года подразделение 42 сообщило, что вредоносный сервис был впервые рекламирован на hackforums [.]net 30 апреля 2023 года за 60 долларов в месяц, 120 долларов в год или за пожизненную плату в размере 200 долларов.
Атаки начинаются с фишинговых электронных писем, выдающих себя за Национальную нефтяную компанию Абу-Даби (ADNOC), призывающих получателей открывать защищенные паролем вложения RAR-архива, которые при открытии удаляют исполняемый файл JinxLoader, который впоследствии действует как шлюз для Formbook или XLoader.
Разработка началась после того, как ESET выявила всплеск числа заражений, выпустив еще одно семейство вредоносных программ для начинающих загрузчиков, получившее название Rugmi, для распространения широкого круга похитителей информации.
Это также происходит на фоне всплеска кампаний, распространяющих DarkGate и PikaBot, при этом исполнитель угрозы, известный как TA544 (он же Narwal Spider), использует новые варианты вредоносных программ-загрузчиков под названием IDAT Loader для развертывания вредоносных программ Remcos RAT или SystemBC.
Более того, злоумышленники, стоящие за похитителем Meduza, выпустили обновленную версию вредоносного ПО (версия 2.2) в темной сети с расширенной поддержкой браузерных криптовалютных кошельков и улучшенным захватом кредитных карт (CC).
В знак того, что вредоносное ПО stealer продолжает оставаться прибыльным рынком для киберпреступников, исследователи обнаружили новое семейство stealer, известное как Vortex Stealer, которое способно отфильтровывать данные браузера, токены Discord, сеансы Telegram, системную информацию и файлы размером менее 2 МБ.
"Украденная информация будет заархивирована и загружена в Gofile или Anonfiles; вредоносная программа также разместит ее на Discord автора с помощью webhooks", - сказали в Symantec. "Он также способен отправлять сообщения в Telegram через Telegram-бота".
Раскрытие информации исходит от компаний по кибербезопасности Palo Alto Networks Unit 42 и Symantec, обе из которых выделили многоступенчатые последовательности атак, которые привели к развертыванию JinxLoader посредством фишинговых атак.
"Вредоносная программа отдает дань уважения персонажу League of Legends Джинксу, изображая персонажа на рекламном плакате и панели входа в систему [command-and-control]", - заявили в Symantec. "Основная функция JinxLoader проста – загрузка вредоносных программ".
В конце ноября 2023 года подразделение 42 сообщило, что вредоносный сервис был впервые рекламирован на hackforums [.]net 30 апреля 2023 года за 60 долларов в месяц, 120 долларов в год или за пожизненную плату в размере 200 долларов.
Атаки начинаются с фишинговых электронных писем, выдающих себя за Национальную нефтяную компанию Абу-Даби (ADNOC), призывающих получателей открывать защищенные паролем вложения RAR-архива, которые при открытии удаляют исполняемый файл JinxLoader, который впоследствии действует как шлюз для Formbook или XLoader.
Разработка началась после того, как ESET выявила всплеск числа заражений, выпустив еще одно семейство вредоносных программ для начинающих загрузчиков, получившее название Rugmi, для распространения широкого круга похитителей информации.
Это также происходит на фоне всплеска кампаний, распространяющих DarkGate и PikaBot, при этом исполнитель угрозы, известный как TA544 (он же Narwal Spider), использует новые варианты вредоносных программ-загрузчиков под названием IDAT Loader для развертывания вредоносных программ Remcos RAT или SystemBC.
Более того, злоумышленники, стоящие за похитителем Meduza, выпустили обновленную версию вредоносного ПО (версия 2.2) в темной сети с расширенной поддержкой браузерных криптовалютных кошельков и улучшенным захватом кредитных карт (CC).
В знак того, что вредоносное ПО stealer продолжает оставаться прибыльным рынком для киберпреступников, исследователи обнаружили новое семейство stealer, известное как Vortex Stealer, которое способно отфильтровывать данные браузера, токены Discord, сеансы Telegram, системную информацию и файлы размером менее 2 МБ.
"Украденная информация будет заархивирована и загружена в Gofile или Anonfiles; вредоносная программа также разместит ее на Discord автора с помощью webhooks", - сказали в Symantec. "Он также способен отправлять сообщения в Telegram через Telegram-бота".
