Introduzione: Un nuovo malware, noto come Rugmi, sta emergendo come una seria minaccia nel panorama della sicurezza informatica. Questo loader di malware è utilizzato da attori di minacce per distribuire una vasta gamma di software per il furto di informazioni, tra cui Lumma Stealer (noto anche come LummaC2), Vidar, RecordBreaker (alias Raccoon Stealer V2) e Rescoms.
Caratteristiche e Diffusione di Rugmi
La società di cybersecurity ESET sta monitorando il trojan sotto il nome di Win/TrojanDownloader.Rugmi. “Questo malware è un loader con tre tipi di componenti: un downloader che scarica un payload criptato, un loader che esegue il payload da risorse interne e un altro loader che esegue il payload da un file esterno sul disco,” ha affermato la società nel suo Threat Report H2 2023.
I dati di telemetria raccolti da ESET mostrano che le rilevazioni del loader Rugmi sono aumentate notevolmente in ottobre e novembre 2023, passando da poche unità al giorno a centinaia.
Metodi di Distribuzione e Tattiche di Evasione
Il malware stealer è tipicamente venduto sotto un modello di malware-as-a-service (MaaS) ad altri attori di minacce su base abbonamento. Lumma Stealer, ad esempio, viene pubblicizzato nei forum sotterranei per 250 dollari al mese. Il piano più costoso costa 20.000 dollari, ma dà anche ai clienti l’accesso al codice sorgente e il diritto di venderlo.
Esistono prove che suggeriscono che il codice associato ai malware Mars, Arkei e Vidar sia stato riutilizzato per creare Lumma. Oltre ad adattare continuamente le sue tattiche per evitare il rilevamento, lo strumento è distribuito attraverso una varietà di metodi, che vanno dalla malvertising agli aggiornamenti fasulli del browser a installazioni crackate di software popolari come VLC media player e OpenAI ChatGPT.
Un’altra tecnica riguarda l’uso della rete di consegna dei contenuti (CDN) di Discord per ospitare e diffondere il malware, come rivelato da Trend Micro nell’ottobre 2023. Questo implica l’utilizzo di una combinazione di account Discord casuali e compromessi per inviare messaggi diretti a potenziali vittime, offrendo loro 10 dollari o un abbonamento a Discord Nitro in cambio del loro aiuto in un progetto.
Implicazioni e Rischi per la Sicurezza
Le soluzioni malware pronte all’uso contribuiscono alla proliferazione di campagne malevoli perché rendono il malware disponibile anche a attori di minacce potenzialmente meno tecnicamente qualificati. “Offrire una gamma più ampia di funzioni rende Lumma Stealer ancora più attraente come prodotto,” ha affermato ESET.
Le rivelazioni arrivano mentre McAfee Labs ha divulgato una nuova variante del NetSupport RAT, emersa dal suo legittimo progenitore NetSupport Manager e da allora utilizzata da broker di accesso iniziale per raccogliere informazioni e svolgere azioni aggiuntive sulle vittime di interesse.
L’infezione inizia con file JavaScript offuscati, che servono come punto iniziale per il malware. L’esecuzione del file JavaScript fa avanzare la catena di attacco eseguendo comandi PowerShell per recuperare il malware di controllo remoto e stealer da un server controllato dall’attore. I principali bersagli della campagna includono gli Stati Uniti e il Canada.