Programari maliciós JinxLoader

Un carregador de programari maliciós descobert recentment, anomenat JinxLoader, es basa en el llenguatge de programació Go i actualment està sent utilitzat per actors relacionats amb el frau per distribuir càrregues útils posteriors, incloent Formbook i el seu successor, XLoader. Els investigadors de ciberseguretat han identificat una sèrie de tècniques d'atac de diversos passos emprades pels actors de l'amenaça, i els atacs de pesca són el mitjà principal per desplegar JinxLoader.

Els atacants suplanten entitats legítimes per lliurar JinxLoader

La campanya d'atac s'inicia mitjançant correus electrònics de pesca que es fan passar per comunicacions de l'Abu Dhabi National Oil Company (ADNOC). Aquests correus electrònics enganyosos animen els destinataris a obrir fitxers adjunts RAR protegits amb contrasenya. En obrir aquests fitxers adjunts, s'allibera l'executable JinxLoader, que serveix com a porta d'entrada per al desplegament de Formbook o XLoader .

Curiosament, el programari maliciós presenta una característica única en rendir homenatge al personatge de League of Legends, Jinx. El personatge apareix de manera destacada al cartell publicitari del programari maliciós i al tauler d'inici de sessió de la seva infraestructura de comandament i control. L'objectiu principal de JinxLoader és clar: serveix com a eina per carregar i executar programari maliciós als sistemes objectiu. Les proves recollides indiquen que el servei de programari maliciós es va promocionar inicialment a hackforums[.]net al voltant del 30 d'abril de 2023, amb opcions de preus establertes en una tarifa única de per vida de 200 $ o 60 $ al mes i 120 $ l'any.

El programari maliciós Stealer continua sent un sector popular per als grups cibercriminals

Indicant la rendibilitat sostinguda del mercat del programari maliciós robatori, els investigadors han identificat una nova família de robadors anomenada Vortex Stealer. Aquest programari maliciós mostra la capacitat d'extreure diversos tipus de dades, com ara informació del navegador, fitxes de Discord, sessions de Telegram, detalls del sistema i fitxers amb mides inferiors a 2 MB.

Les dades robades s'arxiven sistemàticament i després es pengen a plataformes com Gofile o Anonfiles. A més, el programari maliciós té la capacitat de difondre la informació robada publicant-la al canal Discord de l'autor mitjançant webhooks. A més, el Vortex Stealer pot compartir les dades a Telegram mitjançant l'ús d'un bot de Telegram.

Les infeccions per robatoris poden tenir conseqüències greus

Les infeccions de Infostealer poden tenir conseqüències greus per a les víctimes a causa de la naturalesa del programari maliciós i de la informació sensible a la qual es dirigeix. Aquí hi ha algunes possibles ramificacions:

• Pèrdua d'informació personal i financera : els infostealers estan dissenyats per recollir dades sensibles, com ara credencials d'inici de sessió, números de targeta de crèdit, dades bancàries i informació d'identificació personal. Les víctimes poden patir pèrdues financeres, robatori d'identitat i accés no autoritzat als seus comptes.
• Invasió de la privadesa : els infostealers sovint comprometen la privadesa de les persones mitjançant la recollida d'informació personal, que es pot explotar per a diversos propòsits no segurs. Aquesta invasió de la privadesa pot tenir efectes profunds i duradors sobre les víctimes.
• Robatori de credencials : els infostealers s'orienten específicament a noms d'usuari i contrasenyes per a diversos comptes, inclosos el correu electrònic, les xarxes socials i la banca en línia. Un cop recollides, aquestes credencials es poden fer un ús indegut per a l'accés no autoritzat, la qual cosa condueix a comptes compromesos i a un possible ús indegut de les identitats en línia.
• Dades empresarials compromeses : en el cas d'objectius empresarials o organitzatius, les infeccions per robatori d'informació poden provocar el robatori d'informació de propietat, propietat intel·lectual o dades corporatives sensibles. Això pot provocar pèrdues financeres, danys a la reputació i conseqüències legals.
• Ransomware i extorsió : els infostealers poden servir com a precursors d'atacs més destructius, com ara el ransomware. Els ciberdelinqüents poden utilitzar la informació robada com a palanquejament per exigir el pagament del rescat a les víctimes, amenaçant amb exposar o fer un mal ús de les dades compromeses.
• Alteració de la vida personal i professional : les víctimes d'infeccions per robatori d'informació poden enfrontar-se a interrupcions importants tant en aspectes personals com professionals de les seves vides. Recuperar-se de les conseqüències del robatori d'identitat, les pèrdues econòmiques o l'accés no autoritzat a les comunicacions personals pot ser molt llarg i emocionalment angoixant.
• Conseqüències a llarg termini : les conseqüències de les infeccions per robatori d'informació poden estendre's més enllà de l'incident immediat. És possible que les víctimes hagin de fer front a les conseqüències durant un període prolongat, inclosa la necessitat de controlar el crèdit, procediments legals i esforços per restaurar els comptes compromesos.

Per mitigar els riscos associats a les infeccions per robatori d'informació, les persones i les organitzacions haurien de prioritzar les mesures de ciberseguretat, incloses les actualitzacions periòdiques de programari, les solucions antivirus robustes i la formació dels usuaris sobre el reconeixement i l'evitació dels atacs de pesca.