Um novo carregador de malware baseado em Go, chamado JinxLoader, está sendo usado por atores de ameaças para entregar payloads, como o Formbook e seu sucessor XLoader.
A revelação vem das empresas de cibersegurança Palo Alto Networks Unit 42 e Symantec, ambas destacando sequências de ataque em várias etapas que levaram ao deploy do JinxLoader por meio de ataques de phishing.
"O malware presta homenagem ao personagem de League of Legends, Jinx, apresentando o personagem em seu pôster de anúncio e painel de login [comando e controle]", disse a Symantec.
"A função principal do JinxLoader é simples - carregar o malware."
Unit 42 revelou no final de novembro de 2023 que o serviço de malware foi anunciado pela primeira vez em hackforums [.] net em 30 de abril de 2023, por $60 por mês, $120 por ano, ou por uma taxa vitalícia de $200.
Os ataques começam com e-mails de phishing se passando pela Abu Dhabi National Oil Company (ADNOC), instando os destinatários a abrir anexos de arquivo RAR protegidos por senha que, ao serem abertos, liberam o executável JinxLoader, que posteriormente atua como um gateway para Formbook ou XLoader.
O desenvolvimento acontece quando a ESET revelou um pico nas infeções, entregando outra família novata de carregadores de malware chamada Rugmi para propagar uma ampla gama de ladrões de informações.
Também ocorre em meio a um aumento nas campanhas distribuindo DarkGate e PikaBot, com um ator de ameaça conhecido como TA544 (aka Narwal Spider) aproveitando novas variantes de carregadores de malware chamadas IDAT Loader para implantar o malware Remcos RAT ou SystemBC.
Além disso, os atores de ameaças por trás do Meduza Stealer lançaram uma versão atualizada do malware (versão 2.2) na dark web com suporte expandido para carteiras de criptomoedas baseadas em navegador e um capturador de cartão de crédito (CC) melhorado.
Em um sinal de que o malware stealer continua sendo um mercado lucrativo para cibercriminosos, os pesquisadores descobriram uma nova família conhecia como Vortex Stealer, capaz de exfiltrar dados do navegador, tokens do Discord, sessões do Telegram, informações do sistema e arquivos menores de 2 MB.
"As informações roubadas serão arquivadas e carregadas para Gofile ou Anonfiles; o malware também irá postá-las no Discord do autor usando webhooks", disse a Symantec.
"Também é capaz de postar no Telegram via um bot do Telegram."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...