Logiciel malveillant JinxLoader : Révélation de l'étape suivante des menaces liées aux charges utiles
Dans le paysage en constante évolution de la cybersécurité, une découverte récente de l'unité 42 de Palo Alto Networks et de Symantec met en lumière un nouveau chargeur de logiciels malveillants basé sur Go et baptisé JinxLoader malware. Cet outil sophistiqué est utilisé par les acteurs de la menace pour faciliter la livraison de charges utiles malveillantesCet outil sophistiqué est utilisé par les acteurs de la menace pour faciliter la diffusion de charges utiles malveillantes, y compris des logiciels malveillants notoires comme Formbook et son successeur, XLoader.
Le mode opératoire du logiciel malveillant JinxLoader
JinxLoader, qui rend hommage à Jinx, le personnage de League of Legends, se fait connaître par le biais d'une affiche publicitaire et d'un panneau de connexion de commande et de contrôle à l'effigie du personnage. Son rôle principal est simple mais inquiétant : il sert de chargeur pour d'autres logiciels malveillants.
Dévoiler la ligne du temps
Selon l'analyste des menaces de analyste des menaces de cybersécurité d'Unit 42 et de Symantec, JinxLoader est apparu pour la première fois sur le forum de piratage Hackforums le 30 avril 2023, à l'occasion d'une conférence de presse. 30 avril 2023. Annoncé à 60 dollars par mois, 120 dollars par an ou 200 dollars à vie, ce logiciel malveillant a rapidement gagné en notoriété dans le milieu de la cybercriminalité.
Acteurs de la menace et JinxLoader
Les premières étapes de l'attaque consistent en des campagnes d'hameçonnageLes premières étapes de l'attaque consistent en des campagnes d'hameçonnage complexes, dans lesquelles les acteurs de la menace se font passer pour l'Abu Dhabi National Oil Company (ADNOC). Les destinataires reçoivent des courriels d'hameçonnage les incitant à ouvrir des pièces jointes d'archives RAR protégées par mot de passe. Une fois ouvertes, celles-ci déclenchent une réaction en chaîne qui conduit au déploiement de la charge utile JinxLoader.
L'escalade de la menace
L'unité 42 de Palo Alto Networks a observé les premières instances du JinxLoader en novembre 2023. L'attaque par hameçonnage s'est faite sous le couvert d'ADNOC, illustrant la capacité d'adaptation des cybercriminels dans l'élaboration de stratagèmes convaincants. Les courriels trompeurs visent à inciter les destinataires à ouvrir des archives protégées par un mot de passe, ce qui déclenche la chaîne d'infection malveillante.
Menaces parallèles
L'émergence des méthodes d'infection de méthodes d'infection de JinxLoader n'est pas un incident isolé. Les chercheurs en cybersécurité ont constaté une augmentation des infections associées à une nouvelle famille de logiciels malveillants de chargement, Rugmi, conçue pour propager divers voleurs d'informations.
Simultanément, des campagnes de distribution de DarkGatePikaBot et un acteur identifié comme TA544 (Narwal Spider) utilisant IDAT Loader pour déployer le RAT Remcos ou le malware SystemBC contribuent à l'escalade des menaces.
Mise à jour sur le voleur de Meduza
Pour ajouter à la complexité, les acteurs de la menace derrière Meduza Stealer ont publié une version mise à jour (2.2) sur le dark web. Cette version présente des capacités améliorées, notamment une prise en charge élargie des portefeuilles de crypto-monnaies basés sur un navigateur et une amélioration de la saisie des cartes de crédit.
Vortex Stealer : Un nouvel entrant
Soulignant la rentabilité du marché des logiciels malveillants voleurs, des chercheurs ont découvert une nouvelle famille nommée Vortex Stealer. Ce logiciel malveillant, capable d'exfiltrer des données de navigation, des jetons Discord, des sessions Telegram, des informations système et des fichiers d'une taille inférieure à 2 Mo, représente un ajout inquiétant à la liste des menaces persistantes avancées (APT). menaces persistantes avancées (APT) menaces persistantes avancées (APT).
Techniques de distribution des logiciels malveillants
Symantec signale que Vortex Stealer utilise diverses méthodes pour voler des informations, notamment l'archivage et le téléchargement vers Gofile ou Anonfiles. En outre, le logiciel malveillant peut poster les données volées sur le Discord de l'auteur à l'aide de webhooks et même les diffuser sur Telegram par l'intermédiaire d'un bot Telegram dédié. Les cybermenaces font appel à des techniques sophistiquées, avec la livraison de la charge utile à l'étape suivante est un aspect critique auquel les professionnels de la sécurité doivent s'attaquer.
Conclusion
Alors que le paysage des menaces numériques continue d'évoluer, la découverte des vecteurs d'attaque de vecteurs d'attaque JinxLoader souligne l'importance d'une vigilance constante et de mesures de cybersécurité robustes. La nature interconnectée de ces menaces, comme on l'a vu avec Rugmi, DarkGate, PikaBot, IDAT Loader et Vortex Stealer, nécessite une approche globale et proactive de la cyberveille. renseignements sur les cybermenaces pour protéger les actifs numériques.
Les organisations doivent se tenir informées, mettre à jour leurs protocoles de sécurité et mettre en œuvre des pratiques exemplaires en matière de cybersécurité. meilleures pratiques en matière de cybersécurité contre le logiciel malveillant JinxLoader afin d'atténuer les risques posés par ces nouvelles menaces.
Les sources de cet article comprennent des articles dans The Hacker News et Security Affairs.