Вредоносное ПО JinxLoader

Недавно обнаруженный загрузчик вредоносного ПО под названием JinxLoader построен на языке программирования Go и в настоящее время используется злоумышленниками для распространения последующих полезных данных, включая Formbook и его преемника XLoader. Исследователи кибербезопасности выявили ряд методов многоэтапных атак, используемых злоумышленниками, при этом фишинговые атаки являются основным средством развертывания JinxLoader.

Злоумышленники выдают себя за законные организации, чтобы доставить JinxLoader

Кампания атаки инициируется с помощью фишинговых писем, маскирующихся под сообщения Национальной нефтяной компании Абу-Даби (ADNOC). Эти обманные электронные письма побуждают получателей открывать вложения архива RAR, защищенные паролем. При открытии этих вложений высвобождается исполняемый файл JinxLoader, который служит шлюзом для развертывания Formbook или XLoader .

Интересно, что вредоносное ПО обладает уникальной характеристикой, отдавая дань уважения персонажу League of Legends, Джинксу. Этот персонаж широко представлен на рекламном плакате вредоносной программы и на панели входа в ее инфраструктуру управления и контроля. Основная цель JinxLoader ясна – он служит инструментом для загрузки и выполнения вредоносного ПО в целевых системах. Собранные доказательства показывают, что сервис вредоносного ПО первоначально рекламировался на hackforums[.]net примерно 30 апреля 2023 года, при этом варианты ценообразования предусматривали единовременную пожизненную плату в размере 200 или 60 долларов США в месяц и 120 долларов США в год.

Вредоносное ПО Stealer остается популярным сектором для киберпреступных группировок

Подтверждая устойчивую прибыльность рынка вредоносных программ-стилеров, исследователи выявили новое семейство вредоносных программ-стилеров под названием Vortex Stealer. Это вредоносное ПО обладает способностью извлекать различные типы данных, включая информацию о браузере, токены Discord, сеансы Telegram, сведения о системе и файлы размером менее 2 МБ.

Украденные данные систематически архивируются, а затем загружаются на такие платформы, как Gofile или Anonfiles. Кроме того, вредоносная программа имеет возможность распространять украденную информацию, размещая ее на авторском канале Discord с помощью вебхуков. Кроме того, Vortex Stealer может делиться данными в Telegram с помощью бота Telegram.

Заражение воров может привести к тяжелым последствиям

Заражение Infostealer может иметь серьезные последствия для жертв из-за характера вредоносного ПО и конфиденциальной информации, на которую оно нацелено. Вот некоторые потенциальные последствия:

• Потеря личной и финансовой информации . Инфокрады предназначены для сбора конфиденциальных данных, таких как учетные данные для входа, номера кредитных карт, банковские реквизиты и личная идентификационная информация. Жертвы могут понести финансовые потери, кражу личных данных и несанкционированный доступ к своим учетным записям.
• Вторжение в личную жизнь . Инфокрады часто ставят под угрозу конфиденциальность людей, собирая личную информацию, которая может быть использована в различных небезопасных целях. Такое вторжение в частную жизнь может иметь долгосрочные и глубокие последствия для жертв.
• Кража учетных данных . Инфокрады специально нацелены на имена пользователей и пароли для различных учетных записей, включая электронную почту, социальные сети и онлайн-банкинг. После сбора эти учетные данные могут быть использованы для несанкционированного доступа, что приведет к компрометации учетных записей и потенциальному неправильному использованию онлайн-идентификаторов.
• Скомпрометированные бизнес-данные . В случае целей бизнеса или организации заражение информационными ворами может привести к краже конфиденциальной информации, интеллектуальной собственности или конфиденциальных корпоративных данных. Это может привести к финансовым потерям, ущербу репутации и юридическим последствиям.
• Программы-вымогатели и вымогательство . Инфокрады могут служить предшественником более разрушительных атак, таких как программы-вымогатели. Киберпреступники могут использовать украденную информацию в качестве рычага для требования выкупа от жертв, угрожая раскрыть или использовать скомпрометированные данные не по назначению.
• Нарушение личной и профессиональной жизни . Жертвы заражений информационными ворами могут столкнуться со значительными нарушениями как в личных, так и в профессиональных аспектах своей жизни. Восстановление после кражи личных данных, финансовых потерь или несанкционированного доступа к личным коммуникациям может занять много времени и причинить эмоциональное беспокойство.
• Долгосрочные последствия . Последствия заражения информационными ворами могут выходить за рамки непосредственного инцидента. Жертвам, возможно, придется иметь дело с последствиями в течение длительного периода, включая необходимость кредитного мониторинга, судебных разбирательств и усилий по восстановлению скомпрометированных счетов.

Чтобы снизить риски, связанные с заражением информационными ворами, отдельные лица и организации должны уделять первоочередное внимание мерам кибербезопасности, включая регулярные обновления программного обеспечения, надежные антивирусные решения и обучение пользователей распознаванию и предотвращению фишинговых атак.