ClickCease Logiciel malveillant JinxLoader : Révélation de l'étape suivante des menaces liées aux charges utiles

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Logiciel malveillant JinxLoader : Révélation de l'étape suivante des menaces liées aux charges utiles

Wajahat Raja

Le 18 janvier 2024 - L'équipe d'experts de TuxCare

Dans le paysage en constante évolution de la cybersécurité, une découverte récente de l'unité 42 de Palo Alto Networks et de Symantec met en lumière un nouveau chargeur de logiciels malveillants basé sur Go et baptisé JinxLoader malware. Cet outil sophistiqué est utilisé par les acteurs de la menace pour faciliter la livraison de charges utiles malveillantesCet outil sophistiqué est utilisé par les acteurs de la menace pour faciliter la diffusion de charges utiles malveillantes, y compris des logiciels malveillants notoires comme Formbook et son successeur, XLoader.

 

Le mode opératoire du logiciel malveillant JinxLoader


JinxLoader, qui rend hommage à Jinx, le personnage de League of Legends, se fait connaître par le biais d'une affiche publicitaire et d'un panneau de connexion de commande et de contrôle à l'effigie du personnage. Son rôle principal est simple mais inquiétant : il sert de chargeur pour d'autres logiciels malveillants.


Dévoiler la ligne du temps


Selon l'analyste des menaces de
analyste des menaces de cybersécurité d'Unit 42 et de Symantec, JinxLoader est apparu pour la première fois sur le forum de piratage Hackforums le 30 avril 2023, à l'occasion d'une conférence de presse. 30 avril 2023. Annoncé à 60 dollars par mois, 120 dollars par an ou 200 dollars à vie, ce logiciel malveillant a rapidement gagné en notoriété dans le milieu de la cybercriminalité.


Acteurs de la menace et JinxLoader


Les premières étapes de l'attaque consistent en des
campagnes d'hameçonnageLes premières étapes de l'attaque consistent en des campagnes d'hameçonnage complexes, dans lesquelles les acteurs de la menace se font passer pour l'Abu Dhabi National Oil Company (ADNOC). Les destinataires reçoivent des courriels d'hameçonnage les incitant à ouvrir des pièces jointes d'archives RAR protégées par mot de passe. Une fois ouvertes, celles-ci déclenchent une réaction en chaîne qui conduit au déploiement de la charge utile JinxLoader.


L'escalade de la menace


L'unité 42 de Palo Alto Networks a observé les premières instances du JinxLoader en
novembre 2023. L'attaque par hameçonnage s'est faite sous le couvert d'ADNOC, illustrant la capacité d'adaptation des cybercriminels dans l'élaboration de stratagèmes convaincants. Les courriels trompeurs visent à inciter les destinataires à ouvrir des archives protégées par un mot de passe, ce qui déclenche la chaîne d'infection malveillante.


Menaces parallèles


L'émergence des méthodes d'infection de
méthodes d'infection de JinxLoader n'est pas un incident isolé. Les chercheurs en cybersécurité ont constaté une augmentation des infections associées à une nouvelle famille de logiciels malveillants de chargement, Rugmi, conçue pour propager divers voleurs d'informations.

Simultanément, des campagnes de distribution de DarkGatePikaBot et un acteur identifié comme TA544 (Narwal Spider) utilisant IDAT Loader pour déployer le RAT Remcos ou le malware SystemBC contribuent à l'escalade des menaces.


Mise à jour sur le voleur de Meduza


Pour ajouter à la complexité, les acteurs de la menace derrière Meduza Stealer ont publié une version mise à jour (2.2) sur le dark web. Cette version présente des capacités améliorées, notamment une prise en charge élargie des portefeuilles de crypto-monnaies basés sur un navigateur et une amélioration de la saisie des cartes de crédit.


Vortex Stealer : Un nouvel entrant


Soulignant la rentabilité du marché des logiciels malveillants voleurs, des chercheurs ont découvert une nouvelle famille nommée Vortex Stealer. Ce logiciel malveillant, capable d'exfiltrer des données de navigation, des jetons Discord, des sessions Telegram, des informations système et des fichiers d'une taille inférieure à 2 Mo, représente un ajout inquiétant à la liste des menaces persistantes avancées (APT).
menaces persistantes avancées (APT) menaces persistantes avancées (APT).


Techniques de distribution des logiciels malveillants


Symantec signale que Vortex Stealer utilise diverses méthodes pour voler des informations, notamment l'archivage et le téléchargement vers Gofile ou Anonfiles. En outre, le logiciel malveillant peut poster les données volées sur le Discord de l'auteur à l'aide de webhooks et même les diffuser sur Telegram par l'intermédiaire d'un bot Telegram dédié. Les cybermenaces font appel à des techniques sophistiquées, avec
la livraison de la charge utile à l'étape suivante est un aspect critique auquel les professionnels de la sécurité doivent s'attaquer.


Conclusion


Alors que le paysage des menaces numériques continue d'évoluer, la découverte des vecteurs d'attaque de
vecteurs d'attaque JinxLoader souligne l'importance d'une vigilance constante et de mesures de cybersécurité robustes. La nature interconnectée de ces menaces, comme on l'a vu avec Rugmi, DarkGate, PikaBot, IDAT Loader et Vortex Stealer, nécessite une approche globale et proactive de la cyberveille. renseignements sur les cybermenaces pour protéger les actifs numériques.

Les organisations doivent se tenir informées, mettre à jour leurs protocoles de sécurité et mettre en œuvre des pratiques exemplaires en matière de cybersécurité. meilleures pratiques en matière de cybersécurité contre le logiciel malveillant JinxLoader afin d'atténuer les risques posés par ces nouvelles menaces.

Les sources de cet article comprennent des articles dans The Hacker News et Security Affairs.

Résumé
Logiciel malveillant JinxLoader : Révélation de l'étape suivante des menaces liées aux charges utiles
Nom de l'article
Logiciel malveillant JinxLoader : Révélation de l'étape suivante des menaces liées aux charges utiles
Description
Découvrez les dernières informations sur le logiciel malveillant JinxLoader, un outil puissant utilisé par les acteurs de la menace. Protégez vos systèmes des cybermenaces dès aujourd'hui.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information