Software malicioso Rugmi
Los actores de amenazas están empleando un nuevo cargador de malware, identificado como un troyano llamado Win/TrojanDownloader.Rugmi. Este software amenazante consta de tres componentes distintos: un descargador responsable de recuperar una carga útil cifrada, un cargador que ejecuta la carga útil desde recursos internos y otro cargador que ejecuta la carga útil desde un archivo externo en el disco. A pesar de un comienzo lento, las tasas de detección de Rugmi han aumentado rápidamente en los últimos meses, alcanzando cientos de detecciones por día.
Los expertos en seguridad indican que Rugmi se utiliza como medio para implementar varios ladrones de información en dispositivos comprometidos. Ejemplos notables incluyen Lumma Stealer, Vidar , RecordBreaker (también conocido como Raccoon Stealer V2) y Rescoms .
Tabla de contenido
Los ladrones de información a menudo se crean y luego se venden en esquemas MaaS (malware como servicio)
El malware ladrón se comercializa habitualmente a través de un marco de malware como servicio (MaaS), que ofrece planes de suscripción a otros actores de amenazas. Lumma Stealer, por ejemplo, se promociona en foros clandestinos a una tarifa mensual de 250 dólares. El plan de nivel más alto, con un precio de 20.000 dólares, proporciona a los clientes acceso al código fuente, otorgándoles el derecho a venderlo.
La evidencia sugiere que el código base vinculado a los ladrones de Marte , Arkei y Vidar ha sido reutilizado para desarrollar Lumma.
Además de ajustar constantemente sus estrategias para evitar la detección, esta herramienta lista para usar se difunde a través de diversos medios, que van desde publicidad maliciosa hasta actualizaciones de navegador falsificadas e instalaciones comprometidas de software popular como VLC media player y OpenAI ChatGPT.
Los actores de amenazas podrían explotar servicios y plataformas legítimos
Otro método implica utilizar la red de entrega de contenido (CDN) de Discord para alojar y difundir malware.
Este enfoque implica el uso de una combinación de cuentas de Discord aleatorias y comprometidas para enviar mensajes directos a objetivos potenciales. Estos mensajes atraen a los destinatarios con ofertas de 10 dólares o una suscripción a Discord Nitro a cambio de su ayuda en un supuesto proyecto. Aquellos que aceptan la oferta deben descargar un archivo ejecutable alojado en Discord CDN, presentándose falsamente como un Inventario de iMagic pero, en realidad, alberga la carga útil de Lumma Stealer.
La prevalencia de soluciones de malware listas para usar contribuye a la aparición generalizada de campañas maliciosas, ya que hacen que dicho malware sea accesible incluso para actores de amenazas potencialmente menos capacitados técnicamente.
Las infecciones por robo de información pueden tener graves consecuencias para las víctimas
Las infecciones de Infostealer pueden tener graves consecuencias para las víctimas debido a la naturaleza de estos programas maliciosos diseñados para robar información confidencial. A continuación se muestran algunas posibles repercusiones:
- Pérdida de información personal y financiera: los Infostealers están diseñados específicamente para extraer datos confidenciales, como credenciales de inicio de sesión, detalles financieros e información personal. Las víctimas pueden experimentar acceso no autorizado a sus cuentas bancarias, tarjetas de crédito y cuentas en línea, lo que genera pérdidas financieras y robo de identidad.
- Violación de la privacidad: los infostealers comprometen la privacidad de las personas al recopilar y transmitir datos personales. Esta información puede explotarse para diversos fines inseguros, incluidos ataques de phishing dirigidos, chantaje o venta de información personal en la web oscura.
- Cuentas en línea comprometidas: las credenciales de inicio de sesión recopiladas se pueden utilizar para obtener acceso no autorizado a varias cuentas en línea, incluidas cuentas de correo electrónico, redes sociales y comerciales. Este acceso no autorizado puede resultar en el uso indebido de cuentas, la propagación de malware o la realización de actividades fraudulentas en nombre de la víctima.
- Espionaje empresarial: en el caso de entornos corporativos, los ladrones de información pueden conducir al robo de información empresarial confidencial, propiedad intelectual y secretos comerciales. Esto puede tener consecuencias drásticas para la organización afectada, incluidas pérdidas financieras, daños a la reputación y ramificaciones legales.
- Ataques de ransomware: los ladrones de información se utilizan a menudo como precursores de ataques más dañinos, como el ransomware. Los ciberdelincuentes pueden utilizar la información recopilada para lanzar ataques de ransomware dirigidos, cifrar datos valiosos y exigir un rescate por su liberación.
- Interrupción de los servicios: si se utilizan ladrones de información para comprometer sistemas o redes críticos, las víctimas pueden experimentar interrupciones en los servicios. Esto puede afectar a empresas, agencias gubernamentales o personas que dependen de estos sistemas para sus operaciones diarias.
- Daño a la reputación: para individuos y organizaciones, la divulgación de información confidencial puede causar daños a la reputación. La confianza en la capacidad de un individuo o una empresa para salvaguardar la información puede verse erosionada, lo que afectará las relaciones con los clientes o socios.
Para mitigar los riesgos asociados con las infecciones por robo de información, las personas y las organizaciones deben priorizar las medidas de ciberseguridad, incluido un software antimalware sólido, actualizaciones periódicas de software, capacitación de los empleados sobre prácticas líderes en ciberseguridad y la implementación de fuertes controles de acceso y medidas de cifrado.
