Rugmi-haittaohjelma

Uhkatoimijat käyttävät uutta haittaohjelmien latausohjelmaa, joka tunnistetaan troijalaiseksi nimeltä Win/TrojanDownloader.Rugmi. Tämä uhkaava ohjelmisto koostuu kolmesta erillisestä osasta: latausohjelma, joka vastaa salatun hyötykuorman hakemisesta, latausohjelma, joka suorittaa hyötykuorman sisäisistä resursseista, ja toinen latausohjelma, joka suorittaa hyötykuorman levyllä olevasta ulkoisesta tiedostosta. Hitaaasta alkamisesta huolimatta Rugmin havaitsemisasteet ovat nousseet nopeasti viime kuukausien aikana ja ovat saavuttaneet satoja havaintoja päivässä.

Tietoturvaasiantuntijat osoittavat, että Rugmia käytetään keinona ottaa käyttöön erilaisia tietovarastoja vaarantuneille laitteille. Merkittäviä esimerkkejä ovat Lumma Stealer, Vidar , RecordBreaker (tunnetaan myös nimellä Raccoon Stealer V2) ja Rescoms .

Infovarastot luodaan ja myydään usein MaaS-järjestelmissä (Malware-as-a-Service)

Stealer-haittaohjelmia markkinoidaan yleisesti Malware-as-a-Service (MaaS) -kehyksen kautta, joka tarjoaa tilaussuunnitelmia muille uhkatoimijoille. Esimerkiksi Lumma Stealeriä mainostetaan maanalaisilla foorumeilla 250 dollarin kuukausihinnalla. Korkeimman tason suunnitelma, jonka hinta on 20 000 dollaria, tarjoaa asiakkaille pääsyn lähdekoodiin ja antaa heille oikeuden myydä se.

Todisteet viittaavat siihen, että Mars- , Arkei- ja Vidar-varkauksiin yhdistetty koodikanta on käytetty uudelleen Lumman kehittämiseen.

Sen lisäksi, että strategioitaan mukautetaan johdonmukaisesti havaitsemisen välttämiseksi, tätä valmistyökalua levitetään useilla eri tavoilla, jotka vaihtelevat haitallisista selainpäivityksistä väärennöksiin ja suosittujen ohjelmistojen, kuten VLC-mediasoittimen ja OpenAI ChatGPT:n, vaarantuneisiin asennuksiin.

Uhkatoimijat voivat hyödyntää laillisia palveluita ja alustoja

Toinen tapa on käyttää Discordin sisällönjakeluverkkoa (CDN) haittaohjelmien isännöimiseen ja levittämiseen.

Tämä lähestymistapa sisältää satunnaisten ja vaarantuneiden Discord-tilien yhdistelmän käyttämisen suorien viestien lähettämiseen mahdollisille kohteille. Nämä viestit houkuttelevat vastaanottajia 10 dollarin tarjouksilla tai Discord Nitro -tilauksella vastineeksi heidän avustaan oletetussa projektissa. Ne, jotka hyväksyvät tarjouksen, ohjataan sitten lataamaan suoritettava tiedosto, jota isännöidään Discord CDN:llä, joka esittelee itsensä virheellisesti iMagic Inventoryna, mutta todellisuudessa sisältää Lumma Stealer -hyötykuorman.

Valmiiden haittaohjelmaratkaisujen yleisyys edesauttaa haitallisten kampanjoiden yleistymistä, koska ne mahdollistavat haittaohjelmien pääsyn jopa teknisesti vähemmän koulutetuille uhkatoimijoille.

Infostealer-tartunnalla voi olla vakavia seurauksia uhreille

Infostealer-tartunnat voivat aiheuttaa vakavia seurauksia uhreille näiden arkaluontoisten tietojen varastamiseen suunniteltujen haittaohjelmien luonteen vuoksi. Tässä on joitain mahdollisia seurauksia:

• Henkilökohtaisten ja taloudellisten tietojen menettäminen: Infostealers on erityisesti suunniteltu poimimaan arkaluontoisia tietoja, kuten kirjautumistietoja, taloudellisia tietoja ja henkilökohtaisia tietoja. Uhrit voivat kokea luvattoman pääsyn pankkitileilleen, luottokorteilleen ja verkkotileilleen, mikä johtaa taloudellisiin menetyksiin ja identiteettivarkauksiin.
• Yksityisyyden loukkaus: Infostealers vaarantavat yksilöiden yksityisyyden keräämällä ja välittämällä henkilötietoja. Näitä tietoja voidaan hyödyntää useisiin vaarallisiin tarkoituksiin, mukaan lukien kohdistetut tietojenkalasteluhyökkäykset, kiristys tai henkilötietojen myynti pimeässä verkossa.
• Vaaralliset verkkotilit: Kerättyjä kirjautumistunnuksia voidaan käyttää luvattoman pääsyn saamiseksi eri verkkotileille, mukaan lukien sähköpostit, sosiaalinen media ja yritystilit. Tämä luvaton käyttö voi johtaa tilien väärinkäyttöön, haittaohjelmien levittämiseen tai petolliseen toimintaan uhrin nimissä.
• Yritysvakoilu: Yritysympäristöissä tietovarastot voivat johtaa arkaluonteisten yritystietojen, immateriaalioikeuksien ja liikesalaisuuksien varkauksiin. Tällä voi olla rajuja seurauksia asianomaiselle organisaatiolle, kuten taloudellisia menetyksiä, maineen vahingoittumista ja oikeudellisia seurauksia.
• Ransomware-hyökkäykset: Tietovarkaita käytetään usein vahingollisempien hyökkäysten, kuten kiristysohjelmien, edeltäjänä. Kyberrikolliset voivat käyttää kerättyjä tietoja kohdennettujen kiristysohjelmien hyökkäyksiin, salaamalla arvokasta tietoa ja vaatiakseen lunnaita niiden vapauttamisesta.
• Palvelujen häiriöt: Jos tietovarastoja käytetään kriittisten järjestelmien tai verkkojen vaarantamiseen, uhrit voivat kokea häiriöitä palveluissa. Tämä voi vaikuttaa yrityksiin, valtion virastoihin tai henkilöihin, jotka luottavat näihin järjestelmiin päivittäisessä toiminnassa.
• Mainevaurio: Yksilöille ja organisaatioille arkaluonteisten tietojen paljastaminen voi vahingoittaa mainetta. Luottamus yksilön tai yrityksen kykyyn suojata tietoja voi heiketä, mikä vaikuttaa suhteisiin asiakkaiden, asiakkaiden tai kumppaneiden kanssa.

Tietovarkaustartuntojen riskien vähentämiseksi yksilöiden ja organisaatioiden tulee asettaa etusijalle kyberturvallisuustoimenpiteet, mukaan lukien vankat haittaohjelmien torjuntaohjelmistot, säännölliset ohjelmistopäivitykset, työntekijöiden koulutus kyberturvallisuuden johtavista käytännöistä sekä vahvojen pääsynvalvonta- ja salaustoimenpiteiden käyttöönotto.