Yeni bir kötü amaçlı yazılım yükleyici, tehdit aktörleri tarafından Lumma Stealer (diğer adıyla LummaC2), Vidar, RecordBreaker (diğer adıyla Raccoon Stealer V2) gibi çok çeşitli bilgi hırsızlarını sunmak için kullanılıyor. Tekrar aramalar.
Siber güvenlik firması ESET, trojan’ı bu isim altında takip ediyor Win/TrojanDownloader.Rugmi.
Şirket, “Bu kötü amaçlı yazılım üç tür bileşene sahip bir yükleyicidir: şifrelenmiş bir veriyi indiren bir indirici, bu yükü dahili kaynaklardan çalıştıran bir yükleyici ve veriyi diskteki harici bir dosyadan çalıştıran bir başka yükleyici.” söz konusu Tehdit Raporu H2 2023’te.
Şirket tarafından toplanan telemetri verileri, Rugmi yükleyiciye yönelik tespitlerin Ekim ve Kasım 2023’te artış gösterdiğini ve günlük tek haneli rakamlardan günde yüzlerce sayıya yükseldiğini gösteriyor.
KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin
Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Web seminerimize bugün kaydolun.
Hırsız kötü amaçlı yazılımlar genellikle hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında diğer tehdit aktörlerine abonelik temelinde satılır. Örneğin Lumma Stealer’ın yeraltı forumlarında ayda 250 dolara reklamı yapılıyor. En pahalı planın maliyeti 20.000 dolardır, ancak aynı zamanda müşterilere kaynak koduna erişim ve onu satma hakkı da verir.
Mars, Arkei ve Vidar hırsızlarıyla ilişkili kod tabanının Lumma’yı yaratmak için yeniden tasarlandığını gösteren kanıtlar var.
Kullanıma hazır araç, tespitten kaçınmak için taktiklerini sürekli olarak uyarlamanın yanı sıra, kötü amaçlı reklamcılıktan sahte tarayıcı güncellemelerine, VLC medya oynatıcısı ve OpenAI ChatGPT gibi popüler yazılımların kırık kurulumlarına kadar çeşitli yöntemlerle dağıtılıyor.
Başka bir teknik, kötü amaçlı yazılımı barındırmak ve yaymak için Discord’un içerik dağıtım ağının (CDN) kullanılmasıyla ilgilidir. açıklığa kavuşmuş Ekim 2023’te Trend Micro tarafından.
Bu, potansiyel hedeflere doğrudan mesajlar göndermek için rastgele ve ele geçirilmiş Discord hesaplarının bir kombinasyonundan yararlanılmasını ve onlara bir projedeki yardımları karşılığında 10 ABD doları veya Discord Nitro aboneliği teklif edilmesini gerektirir.
Teklifi kabul eden kullanıcılardan daha sonra Discord CDN’de barındırılan ve iMagic Envanteri gibi görünen ancak gerçekte Lumma Stealer yükünü içeren yürütülebilir bir dosyayı indirmeleri istenir.
ESET, “Hazır kötü amaçlı yazılım çözümleri, kötü amaçlı kampanyaların çoğalmasına katkıda bulunuyor çünkü kötü amaçlı yazılımları potansiyel olarak teknik açıdan daha az yetenekli tehdit aktörlerinin kullanımına sunuyor.” dedi.
“Daha geniş bir işlev yelpazesi sunmak, Lumma Stealer’ı bir ürün olarak daha da çekici kılmaya hizmet ediyor.”
Açıklamalar, McAfee Labs’in, meşru atası NetSupport Manager’dan ortaya çıkan ve o zamandan bu yana ilk erişim aracıları tarafından bilgi toplamak ve ilgili mağdurlara yönelik ek eylemler gerçekleştirmek için kullanılmaya başlanan yeni bir NetSupport RAT çeşidini açıkladığı dönemde geldi.
McAfee, “Bulaşma, kötü amaçlı yazılımın ilk giriş noktası olarak hizmet veren, karmaşık JavaScript dosyalarıyla başlıyor.” söz konusu“siber suçlular tarafından kullanılan gelişen taktiklerin” vurgulandığını da sözlerine ekledi.
JavaScript dosyasının yürütülmesi, aktör kontrollü bir sunucudan uzaktan kumanda ve hırsız kötü amaçlı yazılımları almak için PowerShell komutlarını çalıştırarak saldırı zincirini ilerletir. Kampanyanın öncelikli hedefleri arasında ABD ve Kanada yer alıyor.
