Một trình tải phần mềm độc hại dựa trên Go mới được gọi là JinxLoader đang được các tác nhân đe dọa sử dụng để cung cấp các tải trọng giai đoạn tiếp theo như Formbook và người kế nhiệm XLoader.
Tiết lộ đến từ các công ty an ninh mạng Palo Alto Networks Unit 42 và Symantec, cả hai đều nêu bật các chuỗi tấn công nhiều bước dẫn đến việc triển khai JinxLoader thông qua các cuộc tấn công lừa đảo.
"Phần mềm độc hại bày tỏ lòng kính trọng đối với nhân vật Liên Minh Huyền Thoại Jinx, có nhân vật này trên áp phích quảng cáo và bảng đăng nhập [lệnh và kiểm soát]", Symantec cho biết. "Chức năng chính của JinxLoader rất đơn giản - tải phần mềm độc hại."
Đơn vị 42 tiết lộ vào cuối tháng 11/2023 rằng dịch vụ phần mềm độc hại lần đầu tiên được quảng cáo trên các diễn đàn hack. ròng vào ngày 30 tháng 4 năm 2023, với giá 60 đô la một tháng, 120 đô la một năm hoặc với phí trọn đời là 200 đô la.
Các cuộc tấn công bắt đầu bằng các email lừa đảo mạo danh Công ty Dầu khí Quốc gia Abu Dhabi (ADNOC), kêu gọi người nhận mở các tệp lưu trữ RAR được bảo vệ bằng mật khẩu, khi mở, thả tệp thực thi JinxLoader, sau đó hoạt động như một cổng cho Formbook hoặc XLoader.
Sự phát triển này diễn ra khi ESET tiết lộ sự gia tăng đột biến về nhiễm trùng, cung cấp một họ phần mềm độc hại tải mới làm quen khác có tên là Rugmi để truyền bá một loạt các kẻ đánh cắp thông tin.
Nó cũng xuất hiện trong bối cảnh gia tăng các chiến dịch phân phối DarkGate và PikaBot, với một tác nhân đe dọa được gọi là TA544 (hay còn gọi là Narwal Spider) tận dụng các biến thể mới của phần mềm độc hại loader được gọi là IDAT Loader để triển khai phần mềm độc hại Remcos RAT hoặc SystemBC.
Hơn nữa, các tác nhân đe dọa đằng sau Meduza Stealer đã phát hành phiên bản cập nhật của phần mềm độc hại (phiên bản 2.2) trên dark web với sự hỗ trợ mở rộng cho ví tiền điện tử dựa trên trình duyệt và trình lấy thẻ tín dụng (CC) được cải thiện.
Trong một dấu hiệu cho thấy phần mềm độc hại đánh cắp tiếp tục là một thị trường béo bở cho tội phạm mạng, các nhà nghiên cứu đã phát hiện ra một họ kẻ đánh cắp mới được gọi là Vortex Stealer có khả năng trích xuất dữ liệu trình duyệt, mã thông báo Discord, phiên Telegram, thông tin hệ thống và các tệp có kích thước dưới 2 MB.
"Thông tin bị đánh cắp sẽ được lưu trữ và tải lên Gofile hoặc Anonfiles; phần mềm độc hại cũng sẽ đăng nó lên Discord của tác giả bằng cách sử dụng webhook", Symantec cho biết. "Nó cũng có khả năng đăng lên Telegram thông qua bot Telegram."