Los actores de amenazas están utilizando un nuevo cargador de malware para ofrecer una amplia gama de ladrones de información, como Lumma Stealer (también conocido como LummaC2), Vidar, RecordBreaker (también conocido como Raccoon Stealer V2) y Rescoms.
La empresa de ciberseguridad ESET está rastreando el troyano con el nombre Win/TrojanDownloader.Rugmi.
«Este malware es un cargador con tres tipos de componentes: un descargador que descarga una carga útil cifrada, un cargador que ejecuta la carga útil desde recursos internos y otro cargador que ejecuta la carga útil desde un archivo externo en el disco», explicó la empresa. dicho en su Informe de amenazas H2 2023.
Los datos de telemetría recopilados por la empresa muestran que las detecciones del cargador Rugmi aumentaron en octubre y noviembre de 2023, pasando de números diarios de un solo dígito a cientos por día.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
El malware ladrón normalmente se vende bajo un modelo de malware como servicio (MaaS) a otros actores de amenazas mediante suscripción. Lumma Stealer, por ejemplo, se anuncia en foros clandestinos por 250 dólares al mes. El plan más caro cuesta 20.000 dólares, pero también da a los clientes acceso al código fuente y el derecho a venderlo.
Hay evidencia que sugiere que el código base asociado con los ladrones de Mars, Arkei y Vidar ha sido reutilizado para crear Lumma.
Además de adaptar continuamente sus tácticas para evadir la detección, la herramienta disponible en el mercado se distribuye a través de una variedad de métodos que van desde publicidad maliciosa hasta actualizaciones falsas del navegador e instalaciones pirateadas de software popular como VLC media player y OpenAI ChatGPT.
Otra técnica se refiere al uso de la red de entrega de contenido (CDN) de Discord para alojar y propagar el malware, como reveló por Trend Micro en octubre de 2023.
Esto implica aprovechar una combinación de cuentas de Discord aleatorias y comprometidas para enviar mensajes directos a objetivos potenciales, ofreciéndoles $10 o una suscripción a Discord Nitro a cambio de su ayuda en un proyecto.
Luego, se insta a los usuarios que acepten la oferta a descargar un archivo ejecutable alojado en Discord CDN que se hace pasar por iMagic Inventory pero, en realidad, contiene la carga útil de Lumma Stealer.
«Las soluciones de malware listas para usar contribuyen a la proliferación de campañas maliciosas porque hacen que el malware esté disponible incluso para actores de amenazas potencialmente menos capacitados técnicamente», dijo ESET.
«Ofrecer una gama más amplia de funciones sirve para hacer que Lumma Stealer sea aún más atractivo como producto».
Las revelaciones se producen cuando McAfee Labs reveló una nueva variante de NetSupport RAT, que surgió de su progenitor legítimo NetSupport Manager y desde entonces ha sido utilizada por corredores de acceso inicial para recopilar información y realizar acciones adicionales sobre las víctimas de interés.
«La infección comienza con archivos JavaScript ofuscados, que sirven como punto de entrada inicial para el malware», McAfee dichoy agrega que destaca las «tácticas en evolución empleadas por los ciberdelincuentes».
La ejecución del archivo JavaScript avanza la cadena de ataque mediante la ejecución de comandos de PowerShell para recuperar el control remoto y el malware ladrón de un servidor controlado por el actor. Los principales objetivos de la campaña incluyen Estados Unidos y Canadá.