Formbook ve XLoader Kötü Amaçlı Yazılımıyla Kullanıcıları Hedefleyen Yeni JinxLoader
JinxLoader adlı yeni bir Go tabanlı kötü amaçlı yazılım yükleyici, tehdit aktörleri tarafından Formbook ve halefi XLoader gibi sonraki aşama yüklerini sunmak için kullanılıyor.
Açıklama, siber güvenlik firmaları Palo Alto Networks Unit 42 ve Symantec'ten geliyor ve her ikisi de JinxLoader'ın kimlik avı saldırıları yoluyla konuşlandırılmasına yol açan çok adımlı saldırı dizilerini vurguladı.
Symantec, "Kötü amaçlı yazılım, League of Legends karakteri Jinx'e saygı duruşunda bulunuyor ve karakteri reklam afişinde ve [komuta ve kontrol] oturum açma panelinde gösteriyor" dedi. "JinxLoader'ın birincil işlevi basittir - kötü amaçlı yazılım yüklemek."
Unit 42, Kasım 2023'ün sonlarında kötü amaçlı yazılım hizmetinin ilk olarak hackforums'da ilan edildiğini açıkladı[.] net 30 Nisan 2023'te ayda 60 ABD Doları, yılda 120 ABD Doları veya ömür boyu 200 ABD Doları ücret karşılığında.
Saldırılar, Abu Dabi Ulusal Petrol Şirketi'ni (ADNOC) taklit eden kimlik avı e-postalarıyla başlar ve alıcıları, açıldıktan sonra Formbook veya XLoader için bir ağ geçidi görevi gören JinxLoader yürütülebilir dosyasını bırakan parola korumalı RAR arşiv eklerini açmaya çağırır.
Gelişme, ESET'in enfeksiyonlarda bir artış olduğunu ortaya çıkarması ve çok çeşitli bilgi hırsızlarını yaymak için Rugmi adlı başka bir acemi yükleyici kötü amaçlı yazılım ailesi sunmasıyla geldi.
Ayrıca, DarkGate ve PikaBot'u dağıtan kampanyalardaki artışın yanı sıra TA544 (diğer adıyla Narwal Spider) olarak bilinen bir tehdit aktörü, Remcos RAT veya SystemBC kötü amaçlı yazılımını dağıtmak için IDAT Loader adlı yükleyici kötü amaçlı yazılımın yeni türevlerinden yararlanıyor.
Dahası, Meduza Stealer'ın arkasındaki tehdit aktörleri, tarayıcı tabanlı kripto para cüzdanları için genişletilmiş destek ve geliştirilmiş bir kredi kartı (CC) yakalayıcı ile karanlık ağda kötü amaçlı yazılımın güncellenmiş bir sürümünü (sürüm 2.2) yayınladı.
Hırsız kötü amaçlı yazılımların siber suçlular için kazançlı bir pazar olmaya devam ettiğinin bir işareti olarak, araştırmacılar ayrıca tarayıcı verilerini, Discord belirteçlerini, Telegram oturumlarını, sistem bilgilerini ve boyutu 2 MB'den küçük dosyaları sızdırabilen Vortex Stealer olarak bilinen yeni bir hırsız ailesi keşfettiler.
"Çalınan bilgiler arşivlenecek ve Gofile veya Anonfiles'a yüklenecek; kötü amaçlı yazılım ayrıca web kancalarını kullanarak yazarın Discord'una gönderecek, "dedi Symantec. "Ayrıca bir Telegram botu aracılığıyla Telegram'a gönderi gönderebiliyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı