Một trình tải phần mềm độc hại mới đang được sử dụng bởi các tác nhân đe dọa để cung cấp một loạt các trình đánh cắp thông tin như Lumma Stealer (hay còn gọi là LummaC2), Vidar, RecordBreaker (hay còn gọi là Raccoon Stealer V2) và Rescoms.
Công ty an ninh mạng ESET đang theo dõi trojan dưới tên Win / TrojanDownloader.Rugmi.
"Phần mềm độc hại này là một trình tải với ba loại thành phần: trình tải xuống tải xuống tải trọng được mã hóa, trình tải chạy tải trọng từ tài nguyên nội bộ và trình tải khác chạy tải trọng từ tệp bên ngoài trên đĩa", công ty cho biết trong Báo cáo mối đe dọa H2 2023.
Dữ liệu đo từ xa do công ty thu thập cho thấy các phát hiện đối với máy xúc lật Rugmi đã tăng đột biến vào tháng 10 và tháng 11/2023, tăng từ con số hàng ngày một chữ số lên hàng trăm mỗi ngày.
Phần mềm độc hại đánh cắp thường được bán theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) cho các tác nhân đe dọa khác trên cơ sở đăng ký. Ví dụ, Lumma Stealer được quảng cáo trên các diễn đàn ngầm với giá 250 đô la một tháng. Gói đắt nhất có giá 20,000 đô la, nhưng nó cũng cho phép khách hàng truy cập vào mã nguồn và quyền bán nó.
Có bằng chứng cho thấy cơ sở mã liên quan đến những kẻ đánh cắp sao Hỏa, Arkei và Vidar đã được tái sử dụng để tạo ra Lumma.
Bên cạnh việc liên tục điều chỉnh các chiến thuật của mình để tránh bị phát hiện, công cụ có sẵn được phân phối thông qua nhiều phương pháp khác nhau, từ cập nhật trình duyệt giả mạo đến cài đặt bẻ khóa phần mềm phổ biến như VLC media player và OpenAI ChatGPT.
Một kỹ thuật khác liên quan đến việc sử dụng mạng phân phối nội dung (CDN) của Discord để lưu trữ và truyền bá phần mềm độc hại, theo tiết lộ của Trend Micro vào tháng 10/2023.
Điều này đòi hỏi phải tận dụng sự kết hợp của các tài khoản Discord ngẫu nhiên và bị xâm phạm để gửi tin nhắn trực tiếp đến các mục tiêu tiềm năng, cung cấp cho họ 10 đô la hoặc đăng ký Discord Nitro để đổi lấy sự hỗ trợ của họ trong một dự án.
Người dùng đồng ý với đề nghị sau đó được khuyến khích tải xuống một tệp thực thi được lưu trữ trên Discord CDN giả mạo là iMagic Inventory nhưng trên thực tế, có chứa tải trọng Lumma Stealer.
"Các giải pháp phần mềm độc hại được tạo sẵn góp phần vào sự gia tăng của các chiến dịch độc hại vì chúng làm cho phần mềm độc hại có sẵn ngay cả đối với các tác nhân đe dọa có kỹ năng kỹ thuật kém hơn", ESET cho biết.
"Cung cấp một loạt các chức năng sau đó phục vụ để làm cho Lumma Stealer thậm chí còn hấp dẫn hơn như một sản phẩm."
Các tiết lộ được đưa ra khi McAfee Labs tiết lộ một biến thể mới của NetSupport RAT, xuất hiện từ tổ tiên hợp pháp NetSupport Manager và kể từ đó đã được các nhà môi giới truy cập ban đầu sử dụng để thu thập thông tin và thực hiện các hành động bổ sung đối với các nạn nhân quan tâm.
"Sự lây nhiễm bắt đầu với các tệp JavaScript bị xáo trộn, đóng vai trò là điểm xâm nhập ban đầu cho phần mềm độc hại", McAfee nói, thêm rằng nó nhấn mạnh "các chiến thuật phát triển được sử dụng bởi tội phạm mạng".
Việc thực thi tệp JavaScript thúc đẩy chuỗi tấn công bằng cách chạy các lệnh PowerShell để truy xuất điều khiển từ xa và đánh cắp phần mềm độc hại từ máy chủ do tác nhân điều khiển. Các mục tiêu chính của chiến dịch bao gồm Mỹ và Canada.