黑客正在利用一种新的恶意软件加载器来传送各种信息窃取程序，例如 Lumma Stealer（又称 LummaC2）、Vidar、RecordBreaker（又称 Raccoon Stealer V2）和 Rescoms。

网络安全公司 ESET 正在追踪这个木马，并将其命名为 Win/TrojanDownloader.Rugmi。

公司在 2023 年下半年的威胁报告中说道：“这个恶意软件是一个包含三种组件的加载器：一个下载器用于下载加密的有效负载，一个加载器用于从内部资源运行有效负载，以及另一个加载器用于从磁盘上的外部文件运行有效负载。”

公司收集的数据显示，对 Rugmi 加载器的检测在 2023 年 10 月和 11 月激增，从每天个位数增加到每天数百次。

Stealer malware 通常以恶意软件即服务（MaaS）的模式向其他黑客提供订阅服务。例如，Lumma Stealer 在地下论坛中以每月 250 美元的价格进行宣传。最昂贵的方案售价为 20,000 美元，但它也赋予客户访问源代码和出售的权限。

有证据表明，与 Mars、Arkei 和 Vidar stealers 相关联的代码库已被重新利用以创建 Lumma 。

除了持续调整其策略以规避检测外，这款现成的工具还通过多种方式进行分发，包括恶意广告、虚假浏览器更新，以及破解安装流行软件如 VLC 媒体播放器和 OpenAI ChatGPT。

趋势科技在2023年10月披露：“该技术涉及利用 Discord 的内容传送网络（CDN）来托管和传播恶意软件。”

这包括利用随机和受损的 Discord 帐户的组合向潜在目标发送直接消息，向他们提供10美元或 Discord Nitro 订阅以换取他们在一个项目上的帮助。

同意此提议的用户随后被敦促下载托管在 Discord CDN上的可执行文件，伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 的有效载荷。

“现成的恶意软件解决方案促进了恶意活动的蔓延，因为它们使得恶意软件甚至可供技术可能较差的黑客使用。” ESET 表示。

“提供更广泛的功能将使Lumma Stealer成为更具吸引力的产品。”

McAfee Labs披露了 NetSupport RAT 的一个新变种，该变种来自其合法的前身 NetSupport Manager，此后被初始访问代理用于收集信息并对感兴趣的受害者执行其他操作。

McAfee表示“感染始于被混淆的JavaScript文件，这些文件充当恶意软件的初始入口点” ，并强调了“黑客不断演变的策略”。

JavaScript 文件的执行通过运行 PowerShell 命令从受黑客控制的服务器检索远程控制和窃取器恶意软件，推动了攻击链的进展。该攻击活动的主要目标包括美国和加拿大。

---

消息来源：The Hacker News，译者：Leopold；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文