Un nuevo cargador de malware basado en Go llamado JinxLoader está siendo utilizado por actores de amenazas para entregar cargas útiles de la siguiente etapa, como Formbook y su sucesor XLoader.
El divulgación proviene de las firmas de ciberseguridad Palo Alto Networks Unit 42 y Symantec, las cuales destacaron secuencias de ataques de varios pasos que llevaron al despliegue de JinxLoader a través de ataques de phishing.
«El malware rinde homenaje al personaje de League of Legends Gafepresentando al personaje en su cartel publicitario y [command-and-control] panel de inicio de sesión», Symantec dicho. «La función principal de JinxLoader es sencilla: cargar malware».
Unidad 42 reveló a finales de noviembre de 2023 que el servicio de malware fue primero anunciado en foros de piratería[.]neto el 30 de abril de 2023, por $60 al mes, $120 al año o una tarifa vitalicia de $200.
Los ataques comienzan con correos electrónicos de phishing que se hacen pasar por la Compañía Nacional de Petróleo de Abu Dhabi (ADNOC), instando a los destinatarios a abrir archivos adjuntos RAR protegidos con contraseña que, al abrirlos, eliminan el ejecutable JinxLoader, que posteriormente actúa como puerta de entrada para Formbook o XLoader.
El desarrollo se produce cuando ESET reveló un aumento en las infecciones, entregando otra familia de malware de cargador novato denominada Rugmi para propagar una amplia gama de ladrones de información.
También se produce en medio de un aumento en las campañas que distribuyen DarkGate y PikaBot, con un actor de amenazas conocido como TA544 (también conocido como Narwal Spider). aprovechando nuevas variantes de malware de carga llamado IDAT Loader para implementar malware Remcos RAT o SystemBC.
Es más, los actores de amenazas detrás de Meduza Stealer han liberado una versión actualizada del malware (versión 2.2) en la web oscura con soporte ampliado para billeteras de criptomonedas basadas en navegador y un capturador de tarjetas de crédito (CC) mejorado.
En una señal de que el malware ladrón sigue siendo un mercado lucrativo para los ciberdelincuentes, los investigadores han descubierto una nueva familia de ladrones conocida como Vortex Stealer que es capaz de filtrar datos del navegador, tokens de Discord, sesiones de Telegram, información del sistema y archivos de menos de 2 MB. en tamaño.
«La información robada se archivará y se cargará en Gofile o Anonfiles; el malware también la publicará en el Discord del autor mediante webhooks», Symantec dicho. «También es capaz de publicar en Telegram a través de un bot de Telegram».