Nuovo caricatore malware Rugmi registra centinaia di rilevamenti giornalieri
Il nuovo caricatore malware è utilizzato da attori minacciosi per distribuire una vasta gamma di furti di informazioni come Lumma Stealer (aka LummaC2), Vidar, RecordBreaker (aka Raccoon Stealer V2) e Rescoms.
La società di sicurezza informatica ESET sta monitorando il trojan con il nome Win/TrojanDownloader.Rugmi.
“Questo malware è un caricatore con tre tipi di componenti: un downloader che scarica un payload crittografato, un caricatore che esegue il payload da risorse interne e un altro caricatore che esegue il payload da un file esterno sul disco,” ha dichiarato l’azienda nel suo Threat Report H2 2023.
I dati telemetrici raccolti dall’azienda mostrano che i rilevamenti per il caricatore Rugmi sono aumentati a ottobre e novembre 2023, passando da numeri giornalieri a una singola cifra a centinaia al giorno.
I malware stealer vengono tipicamente venduti sotto un modello di malware come servizio (MaaS) ad altri attori minacciosi su base abbonamento. Ad esempio, Lumma Stealer è pubblicizzato nei forum sotterranei a $250 al mese. Il piano più costoso costa $20,000, ma dà anche ai clienti l’accesso al codice sorgente e il diritto di venderlo.
Ci sono prove che suggeriscono che il codice associato ai furti Mars, Arkei e Vidar sia stato riutilizzato per creare Lumma.
Oltre ad adattare continuamente le proprie tattiche per sfuggire alla rilevazione, lo strumento pronto all’uso viene distribuito attraverso una varietà di metodi che vanno dalla pubblicità malevola agli aggiornamenti fasulli del browser all’installazione crackata di software popolari come VLC media player e OpenAI ChatGPT.
Un’altra tecnica riguarda l’uso della rete di distribuzione dei contenuti (CDN) di Discord per ospitare e diffondere il malware, come rivelato da Trend Micro nell’ottobre 2023.
Questo comporta l’utilizzo di una combinazione di account Discord casuali e compromessi per inviare messaggi diretti a potenziali bersagli, offrendo loro $10 o una sottoscrizione Discord Nitro in cambio di assistenza su un progetto.
Gli utenti che accettano l’offerta sono poi invitati a scaricare un file eseguibile ospitato su Discord CDN che si presenta come iMagic Inventory ma, in realtà, contiene il payload di Lumma Stealer.
“Soluzioni di malware preconfezionate contribuiscono alla proliferazione di campagne maliziose perché rendono il malware disponibile anche a potenziali attori minacciosi meno esperti dal punto di vista tecnico,” ha dichiarato ESET.
“L’offerta di un’ampia gamma di funzioni rende Lumma Stealer ancora più attraente come prodotto.”
Queste divulgazioni arrivano mentre McAfee Labs ha divulgato una nuova variante di NetSupport RAT, emersa dal suo legittimo progenitore NetSupport Manager ed è stata utilizzata da intermediari di accesso iniziale per raccogliere informazioni e svolgere azioni aggiuntive su vittime di interesse.
“L’infezione inizia con file JavaScript offuscati, che fungono da punto di ingresso iniziale per il malware,” ha detto McAfee, aggiungendo che evidenzia “le tattiche in evoluzione impiegate dai criminali informatici.”
L’esecuzione del file JavaScript fa progredire la catena di attacco eseguendo comandi PowerShell per recuperare il malware di controllo remoto e di furto delle informazioni da un server controllato da un attore. I principali obiettivi della campagna includono gli Stati Uniti e il Canada.