Logiciel malveillant Rugmi

Les acteurs malveillants utilisent un nouveau chargeur de malware, identifié comme un cheval de Troie nommé Win/TrojanDownloader.Rugmi. Ce logiciel menaçant se compose de trois composants distincts : un téléchargeur chargé de récupérer une charge utile cryptée, un chargeur qui exécute la charge utile à partir de ressources internes et un autre chargeur qui exécute la charge utile à partir d'un fichier externe sur le disque. Malgré un démarrage lent, les taux de détection de Rugmi ont rapidement augmenté au cours des derniers mois, atteignant des centaines de détections par jour.

Les experts en sécurité indiquent que Rugmi est utilisé comme moyen de déployer divers voleurs d'informations sur des appareils compromis. Des exemples notables incluent Lumma Stealer, Vidar , RecordBreaker (également connu sous le nom de Raccoon Stealer V2) et Rescoms .

Les infostealers sont souvent créés puis vendus dans le cadre de programmes MaaS (Malware-as-a-Service).

Les logiciels malveillants voleurs sont généralement commercialisés via un cadre Malware-as-a-Service (MaaS), proposant des plans d'abonnement à d'autres acteurs malveillants. Le Lumma Stealer, par exemple, est promu sur des forums clandestins au tarif mensuel de 250 dollars. Le plan le plus élevé, au prix de 20 000 $, permet aux clients d'accéder au code source, leur accordant ainsi le droit de le vendre.

Les preuves suggèrent que la base de code liée aux voleurs de Mars , Arkei et Vidar a été réutilisée pour développer Lumma.

En plus d'ajuster constamment ses stratégies pour éviter d'être détecté, cet outil standard est diffusé par divers moyens, allant de la publicité malveillante aux mises à jour de navigateur contrefaites et aux installations compromises de logiciels populaires tels que le lecteur multimédia VLC et OpenAI ChatGPT.

Les acteurs menaçants pourraient exploiter des services et des plateformes légitimes

Une autre méthode consiste à utiliser le réseau de diffusion de contenu (CDN) de Discord pour héberger et diffuser des logiciels malveillants.

Cette approche consiste à utiliser un mélange de comptes Discord aléatoires et compromis pour envoyer des messages directs à des cibles potentielles. Ces messages attirent les destinataires avec des offres de 10 $ ou un abonnement Discord Nitro en échange de leur aide sur un supposé projet. Ceux qui acceptent l'offre sont ensuite invités à télécharger un fichier exécutable hébergé sur Discord CDN, se présentant faussement comme un inventaire iMagic mais, en réalité, hébergeant la charge utile Lumma Stealer.

La prédominance de solutions prêtes à l’emploi contre les logiciels malveillants contribue à l’apparition généralisée de campagnes malveillantes, car elles rendent ces logiciels malveillants accessibles même à des acteurs malveillants potentiellement moins compétents techniquement.

Les infections par Infostealer peuvent avoir de graves conséquences pour les victimes

Les infections Infostealer peuvent avoir de graves conséquences pour les victimes en raison de la nature de ces programmes malveillants conçus pour voler des informations sensibles. Voici quelques répercussions potentielles :

• Perte d'informations personnelles et financières : les infostealers sont spécialement conçus pour extraire des données sensibles telles que les identifiants de connexion, les détails financiers et les informations personnelles. Les victimes peuvent subir un accès non autorisé à leurs comptes bancaires, cartes de crédit et comptes en ligne, entraînant des pertes financières et un vol d'identité.
• Violation de la vie privée : les infostealers compromettent la vie privée des individus en collectant et en transmettant des données personnelles. Ces informations peuvent être exploitées à diverses fins dangereuses, notamment des attaques de phishing ciblées, du chantage ou la vente d'informations personnelles sur le dark web.
• Comptes en ligne compromis : les informations de connexion collectées peuvent être utilisées pour obtenir un accès non autorisé à divers comptes en ligne, notamment les e-mails, les réseaux sociaux et les comptes professionnels. Cet accès non autorisé peut entraîner une utilisation abusive des comptes, la propagation de logiciels malveillants ou la conduite d'activités frauduleuses au nom de la victime.
• Espionnage commercial : dans le cas des environnements d'entreprise, les voleurs d'informations peuvent conduire au vol d'informations commerciales sensibles, de propriété intellectuelle et de secrets commerciaux. Cela peut avoir des conséquences dramatiques pour l’organisation concernée, notamment des pertes financières, une atteinte à sa réputation et des conséquences juridiques.
• Attaques de ransomware : les infostealers sont souvent utilisés comme précurseurs d'attaques plus dommageables, telles que les ransomwares. Les cybercriminels peuvent utiliser les informations collectées pour lancer des attaques ciblées de ransomware, cryptant des données précieuses et exigeant une rançon pour leur diffusion.
• Interruption des services : si des voleurs d'informations sont utilisés pour compromettre des systèmes ou des réseaux critiques, les victimes peuvent subir des interruptions de services. Cela peut avoir un impact sur les entreprises, les agences gouvernementales ou les particuliers qui comptent sur ces systèmes pour leurs opérations quotidiennes.
• Dommages à la réputation : Pour les individus et les organisations, la divulgation d’informations sensibles peut nuire à la réputation. La confiance dans la capacité d'un individu ou d'une entreprise à protéger les informations peut être érodée, ce qui a un impact sur les relations avec les clients ou les partenaires.

Pour atténuer les risques associés aux infections par infostealer, les individus et les organisations doivent donner la priorité aux mesures de cybersécurité, notamment un logiciel anti-malware robuste, des mises à jour régulières des logiciels, une formation des employés sur les meilleures pratiques en matière de cybersécurité et la mise en œuvre de contrôles d'accès et de mesures de cryptage stricts.