Um novo carregador de malware está sendo usado por atores de ameaças para entregar uma ampla gama de ladrões de informações, como Lumma Stealer (também conhecido como LummaC2), Vidar, RecordBreaker (também conhecido como Raccoon Stealer V2) e Rescoms.
A empresa de cibersegurança ESET está rastreando o trojan sob o nome Win/TrojanDownloader.Rugmi.
"Este malware é um carregador com três tipos de componentes: um baixador que baixa uma payload criptografada, um carregador que executa a payload a partir de recursos internos e outro carregador que executa a payload a partir de um arquivo externo no disco", disse a empresa em seu Relatório de Ameaças H2 2023.
Dados de telemetria coletados pela empresa mostram que as detecções para o carregador Rugmi dispararam em outubro e novembro de 2023, aumentando de números diários de um dígito para centenas por dia.
O malware Stealer é normalmente vendido sob um modelo de malware como serviço (MaaS) para outros atores de ameaça em uma base de subscrição.
Lumma Stealer, por exemplo, é anunciado em fóruns underground por $ 250 por mês.
O plano mais caro custa $ 20.000, mas também dá aos clientes acesso ao código-fonte e o direito de vendê-lo.
Há evidências que sugerem que a base de código associada aos stealers Mars, Arkei e Vidar foi reaproveitada para criar o Lumma.
Além de adaptar continuamente suas táticas para evitar detecção, a ferramenta off-the-shelf é distribuída através de uma variedade de métodos, variando de malvertising a atualizações falsas do navegador para instalações crackeadas de softwares populares como o VLC media player e OpenAI ChatGPT.
Outra técnica envolve o uso da rede de entrega de conteúdo (CDN) do Discord para hospedar e propagar o malware, conforme revelado pela Trend Micro em outubro de 2023.
Isso implica em aproveitar uma combinação de contas Discord aleatórias e comprometidas para enviar mensagens diretas para alvos em potencial, oferecendo-lhes $ 10 ou uma assinatura Discord Nitro em troca de sua assistência em um projeto.
Os usuários que concordam com a oferta são então incentivados a baixar um arquivo executável hospedado no Discord CDN que se mascara como iMagic Inventory, mas, na realidade, contém a payload Lumma Stealer.
"As soluções de malware prontas para uso contribuem para a proliferação de campanhas maliciosas porque tornam o malware disponível até mesmo para atores de ameaças potencialmente menos tecnicamente habilidosos", disse a ESET.
"A oferta de uma gama mais ampla de funções serve para tornar o Lumma Stealer ainda mais atraente como um produto."
As divulgações ocorrem quando a McAfee Labs revelou uma nova variante do NetSupport RAT, que surgiu de seu progenitor legítimo NetSupport Manager e desde então tem sido usada por intermediários de acesso inicial para coletar informações e executar ações adicionais em vítimas de interesse.
"A infecção começa com arquivos JavaScript ofuscados, servindo como o ponto inicial de entrada para o malware", disse a McAfee, acrescentando que destaca as "táticas em evolução empregadas por criminosos cibernéticos".
A execução do arquivo JavaScript avança a cadeia de ataque executando comandos do PowerShell para recuperar o controle remoto e o malware stealer de um servidor controlado pelo ator.
Os principais alvos da campanha incluem os EUA e o Canadá.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...