Novi malver loader baziran na Go-u pod nazivom JinxLoader koriste hakeri za isporuku korisnih podataka sljedeće faze kao što su Formbook i njegov nasljednik XLoader.
Objava dolazi od kompanija za sajber sigurnost Palo Alto Networks Unit 42 i Symantec, koje su istakle sekvence napada u više koraka što dovodi do implementacije JinxLoader-a putem phishing napada.
„Malver odaje počast liku iz League of Legends Jinxu, predstavljajući lik na svom oglasnom posteru i [komandno-kontrolnom] panelu za prijavu“, rekao je Symantec. “Primarna funkcija JinxLoadera je jednostavna – učitavanje malvera.”
Jedinica 42 otkrila je krajem novembra 2023. da je usluga zlonamjernog softvera prvi put reklamirana na hackforums[.]netu 30. aprila 2023. za 60 dolara mjesečno, 120 dolara godišnje ili za doživotnu naknadu od 200 dolara.
Napadi počinju sa phishing e-mailovima koji se lažno predstavljaju kao Abu Dhabi National Oil Company (ADNOC), pozivajući primaoce da otvore priloge RAR arhive zaštićene lozinkom koji, nakon otvaranja, ispuštaju izvršnu datoteku JinxLoader, koja kasnije djeluje kao gateway za Formbook ili XLoader.
Razvoj dolazi kada je ESET otkrio nagli porast infekcija, isporučujući još jednu familiju malvera početnika pod nazivom Rugmi za propagiranje širokog spektra kradljivaca informacija.
Također dolazi usred porasta kampanja koje distribuiraju DarkGate i PikaBot , zajedno sa hakerom poznatim kao TA544 (aka Narwal Spider) koji koristi nove varijante malvera za učitavanje pod nazivom IDAT Loader za implementaciju Remcos RAT ili SystemBC malvera.
Štaviše, hakeri koji stoje iza Meduza Stealer -a objavili su ažuriranu verziju malvera (verzija 2.2) na dark webu s proširenom podrškom za novčanike za kriptovalute bazirane na pregledniku i poboljšani grabber kreditnih kartica (CC).
Kao znak da je malver za krađu i dalje unosno tržište za sajber kriminalce, istraživači su otkrili i novu porodicu kradljivaca poznatu kao Vortex Stealer koja je sposobna eksfiltrirati podatke preglednika, Discord tokene, sesije Telegrama, informacije o sistemu i datoteke manje od 2 MB veličine.
„Ukradene informacije će biti arhivirane i postavljene na Gofile ili Anonfiles; malver će ih takođe postaviti na autorov Discord koristeći web-hookove,“ rekao je Symantec. “Takođe je sposoban za objavljivanje na Telegramu putem Telegram bota.”
Izvor: The Hacker News
