Un nouveau chargeur de malware est utilisé par les acteurs malveillants pour diffuser un large éventail de voleurs d’informations tels que Lumma Stealer (alias LummaC2), Vidar, RecordBreaker (alias Raccoon Stealer V2) et Rescoms.
La société de cybersécurité ESET suit le cheval de Troie sous le nom Win/TrojanDownloader.Rugmi.
« Ce malware est un chargeur composé de trois types de composants : un téléchargeur qui télécharge une charge utile cryptée, un chargeur qui exécute la charge utile à partir de ressources internes et un autre chargeur qui exécute la charge utile à partir d’un fichier externe sur le disque », explique la société. dit dans son rapport sur les menaces S2 2023.
Les données de télémétrie recueillies par l’entreprise montrent que les détections du chargeur Rugmi ont augmenté en octobre et novembre 2023, passant de nombres quotidiens à un chiffre à des centaines par jour.
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
Les logiciels malveillants voleurs sont généralement vendus sous un modèle de malware en tant que service (MaaS) à d’autres acteurs malveillants sur la base d’un abonnement. Lumma Stealer, par exemple, est annoncé sur des forums clandestins pour 250 dollars par mois. Le plan le plus cher coûte 20 000 $, mais il donne également aux clients l’accès au code source et le droit de le vendre.
Il existe des preuves suggérant que la base de code associée aux voleurs de Mars, Arkei et Vidar a été réutilisée pour créer Lumma.
En plus d’adapter continuellement ses tactiques pour échapper à la détection, l’outil standard est distribué via diverses méthodes allant de la publicité malveillante aux fausses mises à jour de navigateur en passant par les installations piratées de logiciels populaires tels que le lecteur multimédia VLC et OpenAI ChatGPT.
Une autre technique concerne l’utilisation du réseau de diffusion de contenu (CDN) de Discord pour héberger et propager le malware, comme révélé par Trend Micro en octobre 2023.
Cela implique d’exploiter une combinaison de comptes Discord aléatoires et compromis pour envoyer des messages directs à des cibles potentielles, en leur offrant 10 $ ou un abonnement Discord Nitro en échange de leur aide sur un projet.
Les utilisateurs qui acceptent l’offre sont ensuite invités à télécharger un fichier exécutable hébergé sur Discord CDN qui se fait passer pour iMagic Inventory mais, en réalité, contient la charge utile Lumma Stealer.
« Les solutions prêtes à l’emploi contre les logiciels malveillants contribuent à la prolifération des campagnes malveillantes, car elles rendent les logiciels malveillants accessibles même à des acteurs malveillants potentiellement moins compétents techniquement », a déclaré ESET.
« Offrir une gamme de fonctions plus large sert alors à rendre Lumma Stealer encore plus attrayant en tant que produit. »
Ces révélations surviennent alors que McAfee Labs a dévoilé une nouvelle variante de NetSupport RAT, issue de son ancêtre légitime NetSupport Manager et qui a depuis été utilisée par les courtiers d’accès initiaux pour recueillir des informations et effectuer des actions supplémentaires sur les victimes d’intérêt.
« L’infection commence par des fichiers JavaScript obscurcis, qui servent de point d’entrée initial au malware », déclare McAfee. ditajoutant que cela met en évidence les « tactiques évolutives employées par les cybercriminels ».
L’exécution du fichier JavaScript fait progresser la chaîne d’attaque en exécutant des commandes PowerShell pour récupérer le logiciel malveillant télécommandé et voleur à partir d’un serveur contrôlé par un acteur. Les principales cibles de la campagne sont les États-Unis et le Canada.