Rugmi Malware

Gumagamit ang mga aktor ng pagbabanta ng bagong malware loader, na kinilala bilang isang Trojan na pinangalanang Win/TrojanDownloader.Rugmi. Ang nagbabantang software na ito ay binubuo ng tatlong natatanging bahagi: isang downloader na responsable para sa pagkuha ng isang naka-encrypt na payload, isang loader na nagpapatupad ng payload mula sa mga panloob na mapagkukunan, at isa pang loader na nagpapatakbo ng payload mula sa isang panlabas na file sa disk. Sa kabila ng mabagal na pagsisimula, ang mga rate ng pagtuklas ng Rugmi ay mabilis na tumaas sa nakalipas na ilang buwan, na umaabot sa daan-daang mga pagtuklas bawat araw.

Ipinapahiwatig ng mga eksperto sa seguridad na ang Rugmi ay ginagamit bilang isang paraan upang mag-deploy ng iba't ibang infostealers sa mga nakompromisong device. Kabilang sa mga kilalang halimbawa ang Lumma Stealer, Vidar , RecordBreaker (kilala rin bilang Raccoon Stealer V2) at Rescoms .

Ang mga Infostealers ay Madalas Nilikha at Pagkatapos ay Ibinebenta sa MaaS (Malware-as-a-Service) Scheme

Ang stealer malware ay karaniwang ibinebenta sa pamamagitan ng Malware-as-a-Service (MaaS) framework, na nag-aalok ng mga plano sa subscription sa iba pang mga banta na aktor. Ang Lumma Stealer, halimbawa, ay na-promote sa mga underground na forum sa buwanang halaga na $250. Ang pinakamataas na antas ng plano, na may presyong $20,000, ay nagbibigay sa mga customer ng access sa source code, na nagbibigay sa kanila ng karapatang ibenta ito.

Iminumungkahi ng ebidensya na ang codebase na naka-link sa mga magnanakaw ng Mars , Arkei, at Vidar ay ginawang muli upang bumuo ng Lumma.

Bilang karagdagan sa patuloy na pagsasaayos ng mga diskarte nito upang maiwasan ang pag-detect, ang tool na ito na wala sa istante ay ipinapalaganap sa iba't ibang paraan, mula sa malvertising hanggang sa mga pekeng update sa browser at nakompromiso ang mga pag-install ng sikat na software tulad ng VLC media player at OpenAI ChatGPT.

Maaaring Samantalahin ng Mga Aktor ng Banta ang mga Lehitimong Serbisyo at Platform

Kasama sa isa pang paraan ang paggamit ng content delivery network (CDN) ng Discord upang mag-host at magpakalat ng malware.

Ang diskarte na ito ay nagsasangkot ng paggamit ng isang halo ng mga random at nakompromisong Discord account upang magpadala ng mga direktang mensahe sa mga potensyal na target. Ang mga mensaheng ito ay humihikayat sa mga tatanggap ng mga alok na $10 o isang Discord Nitro na subscription kapalit ng kanilang tulong sa isang dapat na proyekto. Ang mga sumasang-ayon sa alok ay ididirekta na mag-download ng isang executable na file na naka-host sa Discord CDN, na maling nagpapakita ng sarili bilang isang iMagic Inventory ngunit, sa katotohanan, kinikimkim ang Lumma Stealer payload.

Ang paglaganap ng mga handa na solusyon sa malware ay nag-aambag sa malawakang paglitaw ng mga nakakahamak na kampanya, dahil ginagawa nilang naa-access ang naturang malware kahit na sa mga potensyal na hindi gaanong teknikal na kasanayan sa mga aktor ng pagbabanta.

Maaaring Magkaroon ng Matinding Bunga ang Mga Impeksyon sa Infostealer para sa mga Biktima

Ang mga impeksyon sa Infostealer ay maaaring magkaroon ng malubhang kahihinatnan para sa mga biktima dahil sa likas na katangian ng mga nakakahamak na programang ito na idinisenyo upang magnakaw ng sensitibong impormasyon. Narito ang ilang potensyal na epekto:

• Pagkawala ng Personal at Pananalapi na Impormasyon: Ang mga Infostealer ay partikular na ginawa upang kunin ang sensitibong data tulad ng mga kredensyal sa pag-log in, mga detalye sa pananalapi, at personal na impormasyon. Maaaring makaranas ang mga biktima ng hindi awtorisadong pag-access sa kanilang mga bank account, credit card, at online na account, na humahantong sa mga pagkalugi sa pananalapi at pagnanakaw ng pagkakakilanlan.
• Paglabag sa Privacy: Kinokompromiso ng mga Infostealers ang privacy ng mga indibidwal sa pamamagitan ng pagkolekta at pagpapadala ng personal na data. Maaaring samantalahin ang impormasyong ito para sa iba't ibang hindi ligtas na layunin, kabilang ang mga naka-target na pag-atake sa phishing, blackmail, o pagbebenta ng personal na impormasyon sa dark web.
• Mga Nakompromisong Online na Account: Maaaring gamitin ang mga nakolektang kredensyal sa pag-log in upang makakuha ng hindi awtorisadong pag-access sa iba't ibang online na account, kabilang ang email, social media at mga account sa negosyo. Ang hindi awtorisadong pag-access na ito ay maaaring magresulta sa maling paggamit ng mga account, pagkalat ng malware, o pagsasagawa ng mga mapanlinlang na aktibidad sa pangalan ng biktima.
• Espionage ng Negosyo: Sa kaso ng mga corporate environment, ang mga infostealers ay maaaring humantong sa pagnanakaw ng sensitibong impormasyon ng negosyo, intelektwal na ari-arian, at mga lihim ng kalakalan. Maaari itong magkaroon ng matinding kahihinatnan para sa apektadong organisasyon, kabilang ang mga pagkalugi sa pananalapi, pinsala sa reputasyon, at mga legal na epekto.
• Mga Pag-atake ng Ransomware: Ang mga Infostealers ay kadalasang ginagamit bilang pasimula sa mas maraming nakakapinsalang pag-atake, gaya ng ransomware. Maaaring gamitin ng mga cybercriminal ang nakolektang impormasyon upang maglunsad ng mga naka-target na pag-atake ng ransomware, pag-encrypt ng mahalagang data at paghingi ng ransom para sa pagpapalabas nito.
• Pagkagambala sa Mga Serbisyo: Kung ang mga infostealers ay ginagamit upang ikompromiso ang mga kritikal na sistema o network, ang mga biktima ay maaaring makaranas ng mga pagkaantala sa mga serbisyo. Maaari itong makaapekto sa mga negosyo, ahensya ng gobyerno, o indibidwal na umaasa sa mga system na ito para sa pang-araw-araw na operasyon.
• Pagkasira ng Reputasyon: Para sa mga indibidwal at organisasyon, ang pagbubunyag ng sensitibong impormasyon ay maaaring magdulot ng pinsala sa reputasyon. Ang pagtitiwala sa kakayahan ng isang indibidwal o kumpanya na pangalagaan ang impormasyon ay maaaring masira, na makakaapekto sa mga relasyon sa mga kliyente, customer o partner.

Upang mapagaan ang mga panganib na nauugnay sa mga impeksyon sa infostealer, dapat unahin ng mga indibidwal at organisasyon ang mga hakbang sa cybersecurity, kabilang ang matatag na anti-malware software, regular na pag-update ng software, pagsasanay ng empleyado sa mga nangunguna sa cybersecurity, at ang pagpapatupad ng malakas na kontrol sa pag-access at mga hakbang sa pag-encrypt.