Phần mềm độc hại Rugmi

Các tác nhân đe dọa đang sử dụng một trình tải phần mềm độc hại mới, được xác định là một Trojan có tên Win/TrojanDownloader.Rugami. Phần mềm đe dọa này bao gồm ba thành phần riêng biệt: một trình tải xuống chịu trách nhiệm tìm nạp tải trọng được mã hóa, một trình tải thực thi tải trọng từ tài nguyên bên trong và một trình tải khác chạy tải trọng từ một tệp bên ngoài trên đĩa. Mặc dù khởi đầu chậm chạp nhưng tỷ lệ phát hiện của Rugmi đã nhanh chóng tăng lên trong vài tháng qua, đạt hàng trăm lượt phát hiện mỗi ngày.

Các chuyên gia bảo mật chỉ ra rằng Rugmi được sử dụng như một phương tiện để triển khai nhiều kẻ đánh cắp thông tin khác nhau trên các thiết bị bị xâm nhập. Các ví dụ đáng chú ý bao gồm Lumma Stealer, Vidar , RecordBreaker (còn được gọi là Raccoon Stealer V2) và Rescoms .

Những kẻ đánh cắp thông tin thường được tạo ra và sau đó được bán trong các sơ đồ MaaS (Phần mềm độc hại dưới dạng dịch vụ)

Phần mềm độc hại đánh cắp thường được tiếp thị thông qua khung Phần mềm độc hại dưới dạng dịch vụ (MaaS), cung cấp các gói đăng ký cho các tác nhân đe dọa khác. Ví dụ: Lumma Stealer được quảng cáo trên các diễn đàn ngầm với mức phí hàng tháng là 250 USD. Gói cấp cao nhất, có giá 20.000 USD, cung cấp cho khách hàng quyền truy cập vào mã nguồn, cấp cho họ quyền bán nó.

Bằng chứng cho thấy cơ sở mã liên kết với những kẻ đánh cắp Mars , Arkei và Vidar đã được tái sử dụng để phát triển Lumma.

Ngoài việc liên tục điều chỉnh các chiến lược của mình để tránh bị phát hiện, công cụ có sẵn này còn được phổ biến bằng nhiều cách khác nhau, từ quảng cáo độc hại đến cập nhật trình duyệt giả mạo và cài đặt phần mềm phổ biến bị xâm phạm như trình phát phương tiện VLC và OpenAI ChatGPT.

Những kẻ đe dọa có thể khai thác các dịch vụ và nền tảng hợp pháp

Một phương pháp khác liên quan đến việc sử dụng mạng phân phối nội dung (CDN) của Discord để lưu trữ và phát tán phần mềm độc hại.

Cách tiếp cận này liên quan đến việc sử dụng kết hợp các tài khoản Discord ngẫu nhiên và bị xâm phạm để gửi tin nhắn trực tiếp đến các mục tiêu tiềm năng. Những tin nhắn này lôi kéo người nhận bằng các ưu đãi trị giá 10 đô la hoặc đăng ký Discord Nitro để đổi lấy sự hỗ trợ của họ cho một dự án được cho là. Sau đó, những người đồng ý với lời đề nghị sẽ được hướng dẫn tải xuống một tệp thực thi được lưu trữ trên Discord CDN, tự trình bày sai là Kho lưu trữ iMagic nhưng trên thực tế, chứa tải trọng Lumma Stealer.

Sự phổ biến của các giải pháp phần mềm độc hại được tạo sẵn góp phần vào sự xuất hiện rộng rãi của các chiến dịch độc hại, vì chúng làm cho phần mềm độc hại đó có thể truy cập được ngay cả đối với những tác nhân đe dọa có kỹ năng kỹ thuật kém hơn.

Nhiễm trùng Infostealer có thể gây hậu quả nghiêm trọng cho nạn nhân

Việc lây nhiễm kẻ đánh cắp thông tin có thể gây ra hậu quả nghiêm trọng cho nạn nhân do bản chất của các chương trình độc hại này được thiết kế để đánh cắp thông tin nhạy cảm. Dưới đây là một số hậu quả tiềm ẩn:

• Mất thông tin cá nhân và tài chính: Kẻ đánh cắp thông tin được thiết kế đặc biệt để trích xuất dữ liệu nhạy cảm như thông tin xác thực đăng nhập, chi tiết tài chính và thông tin cá nhân. Nạn nhân có thể bị truy cập trái phép vào tài khoản ngân hàng, thẻ tín dụng và tài khoản trực tuyến của họ, dẫn đến tổn thất tài chính và đánh cắp danh tính.
• Vi phạm quyền riêng tư: Kẻ đánh cắp thông tin xâm phạm quyền riêng tư của cá nhân bằng cách thu thập và truyền dữ liệu cá nhân. Thông tin này có thể bị khai thác cho nhiều mục đích không an toàn khác nhau, bao gồm các cuộc tấn công lừa đảo có chủ đích, tống tiền hoặc bán thông tin cá nhân trên web đen.
• Tài khoản trực tuyến bị xâm phạm: Thông tin đăng nhập được thu thập có thể được sử dụng để truy cập trái phép vào nhiều tài khoản trực tuyến khác nhau, bao gồm email, mạng xã hội và tài khoản doanh nghiệp. Việc truy cập trái phép này có thể dẫn đến việc tài khoản bị lạm dụng, phát tán phần mềm độc hại hoặc thực hiện các hoạt động lừa đảo dưới danh nghĩa của nạn nhân.
• Gián điệp kinh doanh: Trong trường hợp môi trường doanh nghiệp, kẻ đánh cắp thông tin có thể dẫn đến việc đánh cắp thông tin kinh doanh nhạy cảm, sở hữu trí tuệ và bí mật thương mại. Điều này có thể gây ra hậu quả nghiêm trọng cho tổ chức bị ảnh hưởng, bao gồm tổn thất tài chính, tổn hại đến danh tiếng và hậu quả pháp lý.
• Tấn công bằng ransomware: Kẻ đánh cắp thông tin thường được sử dụng làm tiền đề cho các cuộc tấn công gây thiệt hại lớn hơn, chẳng hạn như ransomware. Tội phạm mạng có thể sử dụng thông tin thu thập được để thực hiện các cuộc tấn công ransomware có chủ đích, mã hóa dữ liệu có giá trị và yêu cầu tiền chuộc để phát tán thông tin đó.
• Gián đoạn dịch vụ: Nếu kẻ đánh cắp thông tin được sử dụng để xâm phạm các hệ thống hoặc mạng quan trọng, nạn nhân có thể gặp phải tình trạng gián đoạn dịch vụ. Điều này có thể ảnh hưởng đến các doanh nghiệp, cơ quan chính phủ hoặc cá nhân dựa vào các hệ thống này để hoạt động hàng ngày.
• Thiệt hại về danh tiếng: Đối với các cá nhân và tổ chức, việc tiết lộ thông tin nhạy cảm có thể gây thiệt hại về danh tiếng. Niềm tin vào khả năng bảo vệ thông tin của một cá nhân hoặc công ty có thể bị xói mòn, ảnh hưởng đến mối quan hệ với khách hàng hoặc đối tác.

Để giảm thiểu rủi ro liên quan đến lây nhiễm thông tin, các cá nhân và tổ chức nên ưu tiên các biện pháp an ninh mạng, bao gồm phần mềm chống phần mềm độc hại mạnh mẽ, cập nhật phần mềm thường xuyên, đào tạo nhân viên về các phương pháp hàng đầu về an ninh mạng cũng như triển khai các biện pháp mã hóa và kiểm soát truy cập mạnh mẽ.