Go tabanlı yeni bir kötü amaçlı yazılım yükleyicisi çağrıldı Uğursuzluk Yükleyici Tehdit aktörleri tarafından Formbook ve onun halefi XLoader gibi sonraki aşama yüklerini sunmak için kullanılıyor.
Açıklama, siber güvenlik firmaları Palo Alto Networks Unit 42 ve Symantec’ten geldi; her ikisi de kimlik avı saldırıları yoluyla JinxLoader’ın konuşlandırılmasına yol açan çok adımlı saldırı dizilerini vurguladı.
“Kötü amaçlı yazılım, League of Legends karakteri Jinx’e saygı duruşunda bulunuyor ve karaktere reklam posterinde yer veriyor ve [command-and-control] Oturum açma paneli” dedi Symantec. “JinxLoader’ın temel işlevi basittir; kötü amaçlı yazılım yüklemek.”
Ünite 42 açıklığa kavuşmuş Kasım 2023’ün sonlarında, kötü amaçlı yazılım hizmetinin ilk kez hackforumlarda reklamı yapıldı[.]net olarak 30 Nisan 2023’te ayda 60 ABD Doları, yılda 120 ABD Doları veya ömür boyu 200 ABD Doları ücret karşılığında.
Saldırılar, Abu Dhabi Ulusal Petrol Şirketi’nin (ADNOC) kimliğine bürünen kimlik avı e-postalarıyla başlıyor ve alıcıları, açıldıktan sonra Formbook veya XLoader için bir ağ geçidi görevi gören JinxLoader yürütülebilir dosyasını bırakan parola korumalı RAR arşiv eklerini açmaya teşvik ediyor.
Bu gelişme, ESET’in enfeksiyonlarda ani bir artış olduğunu ortaya çıkarması ve Rugmi adlı başka bir acemi yükleyici kötü amaçlı yazılım ailesinin geniş bir yelpazedeki bilgi hırsızlarını yayması için ortaya çıkmasıyla ortaya çıktı.
Aynı zamanda, DarkGate ve PikaBot dağıtım kampanyalarında da bir artış yaşandığı bir dönemde bu durum, TA544 (diğer adıyla Narwal Spider) olarak bilinen bir tehdit aktörünün, Remcos RAT veya SystemBC kötü amaçlı yazılımını dağıtmak için IDAT Loader adı verilen yeni yükleyici kötü amaçlı yazılım türlerinden yararlanmasıyla ortaya çıkıyor.
Dahası, Meduza Stealer’ın arkasındaki tehdit aktörleri, tarayıcı tabanlı kripto para birimi cüzdanları için genişletilmiş destek ve iyileştirilmiş bir kredi kartı (CC) yakalayıcısı içeren, kötü amaçlı yazılımın güncellenmiş bir sürümünü (sürüm 2.2) karanlık ağda yayınladı.
Araştırmacılar, hırsızlığa yönelik kötü amaçlı yazılımların siber suçlular için kazançlı bir pazar olmaya devam ettiğinin bir işareti olarak, Vortex Stealer olarak bilinen ve tarayıcı verilerini, Discord belirteçlerini, Telegram oturumlarını, sistem bilgilerini ve 2 MB’tan küçük dosyaları sızdırabilen yeni bir hırsız ailesi keşfettiler boyutunda.
Symantec, “Çalınan bilgiler arşivlenecek ve Gofile veya Anonfiles’a yüklenecek; kötü amaçlı yazılım aynı zamanda web kancalarını kullanarak bunları yazarın Discord’una da gönderecek” dedi. “Aynı zamanda bir Telegram botu aracılığıyla Telegram’a gönderim yapma yeteneğine de sahip.”