Een nieuwe malware-lader wordt door bedreigingsactoren gebruikt om een breed scala aan informatiestelers te leveren, zoals Lumma Stealer (ook bekend als LummaC2), Vidar, RecordBreaker (ook bekend als Raccoon Stealer V2) en Rescoms.
Cyberbeveiligingsbedrijf ESET volgt de trojan onder de naam Win/TrojanDownloader.Rugmi.
“Deze malware is een lader met drie soorten componenten: een downloader die een gecodeerde lading downloadt, een lader die de lading van interne bronnen uitvoert, en een andere lader die de lading van een extern bestand op de schijf uitvoert”, aldus het bedrijf in haar dreigingsrapport H2 2023.
Uit telemetriegegevens verzameld door het bedrijf blijkt dat het aantal detecties voor de Rugmi-lader in oktober en november 2023 een piek vertoonde, van dagelijkse cijfers van één cijfer naar honderden per dag.
Stealer-malware wordt doorgaans op abonnementsbasis verkocht onder een Malware-as-a-Service (MaaS)-model aan andere bedreigingsactoren. Lumma Stealer wordt bijvoorbeeld in ondergrondse forums geadverteerd voor $ 250 per maand. Het duurste abonnement kost $20.000, maar geeft de klanten ook toegang tot de broncode en het recht om deze te verkopen.
Er zijn aanwijzingen dat de codebasis die verband houdt met de stelers van Mars, Arkei en Vidar opnieuw is gebruikt om Lumma te creëren.
Naast het voortdurend aanpassen van zijn tactieken om detectie te omzeilen, wordt de kant-en-klare tool verspreid via een verscheidenheid aan methoden, variërend van malvertising tot valse browserupdates tot gekraakte installaties van populaire software zoals VLC media player en OpenAI ChatGPT.
Een andere techniek betreft het gebruik van het content delivery network (CDN) van Discord om de malware te hosten en te verspreiden, zoals onthuld door Trend Micro in oktober 2023.
Dit houdt in dat je een combinatie van willekeurige en gecompromitteerde Discord-accounts gebruikt om directe berichten naar potentiële doelwitten te sturen, waarbij ze $ 10 of een Discord Nitro-abonnement worden aangeboden in ruil voor hun hulp bij een project.
Gebruikers die akkoord gaan met het aanbod worden vervolgens aangespoord om een uitvoerbaar bestand te downloaden dat wordt gehost op Discord CDN en dat zich voordoet als iMagic Inventory, maar in werkelijkheid de Lumma Stealer-payload bevat.
“Kant-en-klare malware-oplossingen dragen bij aan de verspreiding van kwaadaardige campagnes, omdat ze de malware zelfs beschikbaar maken voor potentieel minder technisch onderlegde bedreigingsactoren”, aldus ESET.
“Het aanbieden van een breder scala aan functies zorgt er vervolgens voor dat Lumma Stealer als product nog aantrekkelijker wordt.”
De onthullingen komen op het moment dat McAfee Labs een nieuwe variant van NetSupport RAT heeft onthuld, die is voortgekomen uit de legitieme voorloper NetSupport Manager en sindsdien is gebruikt door initiële toegangsmakelaars om informatie te verzamelen en aanvullende acties uit te voeren tegen slachtoffers van interesse.
“De infectie begint met versluierde JavaScript-bestanden, die dienen als het eerste toegangspunt voor de malware”, aldus McAfee, eraan toevoegend dat het de “evoluerende tactieken van cybercriminelen benadrukt.”
De uitvoering van het JavaScript-bestand bevordert de aanvalsketen door PowerShell-opdrachten uit te voeren om de afstandsbediening op te halen en malware te stelen van een door een acteur bestuurde server. De primaire doelwitten van de campagne zijn onder meer de VS en Canada.
