Шкідливе програмне забезпечення Rugmi

Зловмисники використовують новий завантажувач зловмисного програмного забезпечення, ідентифікований як троян під назвою Win/TrojanDownloader.Rugmi. Це загрозливе програмне забезпечення складається з трьох окремих компонентів: завантажувача, який відповідає за отримання зашифрованого корисного навантаження, завантажувача, який виконує корисне навантаження з внутрішніх ресурсів, і іншого завантажувача, який запускає корисне навантаження із зовнішнього файлу на диску. Незважаючи на повільний початок, показники виявлення Rugmi швидко зросли протягом останніх кількох місяців, досягаючи сотень виявлень на день.

Експерти з безпеки вказують, що Rugmi використовується як засіб для розгортання різноманітних інфокрадиків на скомпрометованих пристроях. До відомих прикладів належать Lumma Stealer, Vidar , RecordBreaker (також відомий як Raccoon Stealer V2) і Rescoms .

Інфостілери часто створюють, а потім продають за схемами MaaS (зловмисне програмне забезпечення як послуга)

Зловмисне програмне забезпечення Stealer зазвичай продається через фреймворк Malware-as-a-Service (MaaS), пропонуючи плани підписки іншим суб’єктам загрози. Lumma Stealer, наприклад, рекламується на підпільних форумах за місячну ставку 250 доларів. План найвищого рівня, ціна якого становить 20 000 доларів США, надає клієнтам доступ до вихідного коду, надаючи їм право продавати його.

Докази свідчать про те, що кодова база, пов’язана з викрадачами Mars , Arkei та Vidar, була перепрофільована для розробки Lumma.

На додаток до постійного коригування своїх стратегій, щоб уникнути виявлення, цей готовий інструмент поширюється різними способами, починаючи від шкідливої реклами і закінчуючи підробленими оновленнями браузера та скомпрометованими інсталяціями популярного програмного забезпечення, як-от медіаплеєр VLC і OpenAI ChatGPT.

Зловмисники можуть використовувати законні служби та платформи

Інший метод передбачає використання мережі доставки контенту (CDN) Discord для розміщення та розповсюдження шкідливих програм.

Цей підхід передбачає використання комбінації випадкових і скомпрометованих облікових записів Discord для надсилання прямих повідомлень потенційним цілям. Ці повідомлення спонукають одержувачів пропозицією 10 доларів США або підпискою на Discord Nitro в обмін на їхню допомогу в уявному проекті. Тим, хто погоджується на пропозицію, буде запропоновано завантажити виконуваний файл, розміщений на Discord CDN, який фальшиво представляє себе як iMagic Inventory, але насправді містить корисне навантаження Lumma Stealer.

Поширеність готових рішень зловмисного програмного забезпечення сприяє широкому поширенню зловмисних кампаній, оскільки вони роблять таке зловмисне програмне забезпечення доступним навіть для потенційно менш технічно підготовлених учасників загроз.

Зараження Infostealer може мати серйозні наслідки для жертв

Зараження Infostealer може мати серйозні наслідки для жертв через природу цих шкідливих програм, призначених для викрадення конфіденційної інформації. Ось деякі можливі наслідки:

• Втрата особистої та фінансової інформації: Інфостілери спеціально створені для вилучення конфіденційних даних, таких як облікові дані для входу, фінансові відомості та особиста інформація. Жертви можуть зіткнутися з несанкціонованим доступом до своїх банківських рахунків, кредитних карток і онлайн-акаунтів, що призведе до фінансових втрат і крадіжки особистих даних.
• Порушення конфіденційності: викрадачі інформації порушують конфіденційність людей, збираючи та передаючи особисті дані. Ця інформація може бути використана для різних небезпечних цілей, включаючи цілеспрямовані фішингові атаки, шантаж або продаж особистої інформації в темній мережі.
• Зламані облікові записи в Інтернеті: зібрані облікові дані для входу можна використовувати для отримання несанкціонованого доступу до різних облікових записів в Інтернеті, включаючи електронну пошту, соціальні мережі та бізнес-акаунти. Такий неавторизований доступ може призвести до неправомірного використання облікових записів, розповсюдження зловмисного програмного забезпечення або здійснення шахрайських дій від імені жертви.
• Бізнес-шпигунство: у випадку корпоративного середовища інформаційні викрадачі можуть призвести до крадіжки конфіденційної бізнес-інформації, інтелектуальної власності та комерційної таємниці. Це може мати кардинальні наслідки для постраждалої організації, включаючи фінансові втрати, шкоду репутації та правові наслідки.
• Атаки програм-вимагачів: програми-викрадачі часто використовуються як попередник більш шкідливих атак, наприклад програм-вимагачів. Кіберзлочинці можуть використовувати зібрану інформацію для цілеспрямованих атак програм-вимагачів, шифруючи цінні дані та вимагаючи викуп за їх розповсюдження.
• Збій у роботі послуг: якщо інформаційні викрадачі використовуються для компрометації критичних систем або мереж, жертви можуть зіткнутися з перебоями в роботі послуг. Це може вплинути на підприємства, державні установи чи окремих осіб, які покладаються на ці системи для щоденної роботи.
• Шкода репутації: для окремих осіб і організацій розкриття конфіденційної інформації може завдати шкоди репутації. Довіра до здатності особи чи компанії захищати інформацію може бути послаблена, що вплине на стосунки з клієнтами, замовниками чи партнерами.

Щоб пом’якшити ризики, пов’язані з зараженням інформаційних крадіжок, окремі особи та організації повинні надати пріоритет заходам кібербезпеки, включаючи надійне програмне забезпечення для захисту від зловмисного програмного забезпечення, регулярні оновлення програмного забезпечення, навчання співробітників провідним практикам кібербезпеки, а також впровадження надійних заходів контролю доступу та шифрування.