JinxLoader zlonamjerni softver

AUTOR · Published · Updated

Novi zlonamjerni softver za učitavanje zasnovan na Go programskom jeziku pod nazivom JinxLoader sada koriste zlonamjerni akteri za isporuku korisnog tereta sljedeće faze kao što su Formbook i njegov nasljednik Xloader.

JinxLoader

JinxLoader zlonamjerni softver; Source: Bing Image Creator

JINXLOADER

Sigurnosni istraživači kompanije Palo Alto Networks iz posebnog odjeljenja Unit 42 su otkrili JinxLoader u novembru 2023. godine, a zlonamjerni softver je prvi put reklamiran na hackforums[.]net 30. aprila 2023. godine sa cijenom od 60 američkih dolara za mjesec dana, odnosno 120 američkih dolara ili za 200 američkih dolara neograničeno.

Zanimljivo je da zlonamjerni softver pokazuje jedinstvenu karakteristiku odajući počast liku iz League of Legends, pod nazivom Jinx. Lik je istaknut na reklamnom posteru zlonamjernog softvera i panelu za prijavu njegove infrastrukture za komandu i kontrolu. Glavna svrha JinxLoader zlonamjernog softvera je jasna – služi kao alat za učitavanje i izvršavanje zlonamjernog softvera na ciljanim sistemima.

Napad koji su primijetili sigurnosni istraživači, koristio je phishing poruke zloupotrebljavajući u sadržaju identitet Nacionalne naftne kompanija Abu Dabija (ADNOC). Sadržaj poruka je pokušao da prevari primaoce da otvore RAR arhivu zaštićenu lozinkom. Jednom kada se arhiva otvori, lanac infekcije počinje da vodi do postavljanja JinxLoader korisnog tereta.

 

Formbook

Zlonamjerni softver za krađu podatak FormBook, koji se koristi u svrhe sajber špijunaže i kao i drugi zlonamjerni softver ove vrste sposoban je izvuče podatke iz HTTP sesija, bilježi pritisak na tastere, krade sadržaj međuspremnika. FormBook takođe može da prima komande sa servera za komandu i kontrolu (C2) za obavljanje mnogih zlonamjernih aktivnosti, kao što je preuzimanje više korisnih podataka.

Jedna od najzanimljivijih karakteristika koju su implementirali autori zlonamjernog softvera omogućava zlonamjernom kôdu da čita Windows ntdll.dll modul sa diska u memoriju i direktno poziva njegove izvezene funkcije, čineći priključivanje korisničkog režima i mehanizme API praćenja neefikasnim.

Pored toga, FormBook jednostavan za korištenje i sa dobrom strukturom cijena koja bi mogla da predstavlja element privlačnosti i za vješte lopove i za nove sajber kriminalce koji ulaze u sajber arenu.

 

Xloader

Xloader je primijećen 2020. godine kao veoma jeftin zlonamjerni softver koji je zasnovan na popularnom FormBook Windows zlonamjernom softveru. Ovaj zlonamjerni softver može bilježi pritisak na tastere, pravi snimke ekrana i prikuplja sve osjetljive podatke na koje naiđe.

Iako ovaj zlonamjerni softver može imati potencijal da dođe do mnogih zlonamjernih aktera voljnih da ga iskoriste, njegov uticaj ostaje donekle ograničen zbog njegove arhitekture. Da bi se Xloader pokrenuo, zlonamjerni akteri moraju da ga smjeste tekstualni dokument i pošalju putem elektronske pošte potencijalnim žrtvama, nadajući se da će primaoci otvoriti kompromitovani dokument i pokrenuti infekciju.

Ukratko, izvršenje zlonamjernog softvera je moguće samo klikom miša na pogrešnom mjestu. Čak i ako biste u prijemno sanduče primili Xloader neželjenu elektronsku poštu, uređaji bi ostao netaknut, sve dok se kompromitovani dokument ne bi otvorio.

 

POSLJEDICE

Zlonamjerni softveri za krađu podataka mogu izazvati teške posljedice po žrtve infekcije zbog prirode zlonamjernog softvera i osjetljivih informacija koje cilja. Evo nekih potencijalnih posljedica:

  • Gubitak ličnih i finansijskih informacija: Kradljivci informacija su dizajnirani da prikupljaju osjetljive podatke kao što su akreditivi za prijavu, brojevi kreditnih kartica, bankarski detalji i lične identifikacione informacije. Žrtve mogu doživjeti finansijske gubitke, krađu identiteta i neovlašteni pristup svojim računima.
  • Zadiranje u privatnost: Kradljivci informacija često ugrožavaju privatnost pojedinaca prikupljanjem ličnih podataka, koji se mogu iskoristiti u različite nebezbjedne svrhe. Ova invazija na privatnost može imati dugotrajne i duboke efekte na žrtve.
  • Krađa akreditiva: Kradljivci informacija posebno ciljaju korisnička imena i lozinke za različite naloge, uključujući elektronsku poštu, društvene medije i internet bankarstvo. Kada se prikupe, ovi akreditivi mogu biti zlo upotrebljeni za neovlašteni pristup, što dovodi do kompromitovanih naloga i potencijalne zloupotrebe internet identiteta.
  • Kompromitovani poslovni podaci: U slučaju poslovnih ili organizacionih ciljeva, zaraze kradljivcima informacija mogu dovesti do krađe vlasničkih informacija, intelektualne svojine ili osjetljivih korporativnih podataka. To može prouzrokovati finansijske gubitke, štetu po ugled i pravne posljedice.
  • Ransomware i iznuda: Kradljivci informacija mogu poslužiti kao prethodnica destruktivnim napadima, kao što je ransomware. Zlonamjerni akteri mogu koristiti ukradene informacije kao polugu da zahtijevaju otkupninu od žrtava, preteći da će razotkriti ili zloupotrebiti kompromitovane podatke.
  • Remećenje ličnog i profesionalnog života: Žrtve infekcija kradljivaca informacija mogu se suočiti sa značajnim poremećajima u ličnom i profesionalnom aspektu svog života. Oporavak od posljedica krađe identiteta, finansijskih gubitaka ili neovlaštenog pristupa ličnim komunikacijama može biti dugotrajan i emocionalno uznemirujući.
  • Dugoročne posljedice: Posljedice infekcija kradljivcima informacija mogu se proširiti i dalje od neposrednog incidenta. Žrtve će možda morati da se nose sa posljedicama tokom dužeg perioda, uključujući potrebu za praćenjem kredita, pravnim postupcima i naporima da se obnove ugroženi računi.

 

ZAKLJUČAK

Pojava JinxLoader kao metoda infekcije nije izolovan incident. Sajber istraživači su primijetili i porast infekcija povezanih sa novom porodicom zlonamjernog softvera za učitavanje Rugmi, dizajniranom da propagira razne kradljivce informacija.

Tu su, istovremen i kampanje koje distribuiraju DarkGate, PikaBot i zlonamjerni akter identifikovan kao TA544 (Narwal Spider) koji koristi IDAT Loader za isporuku Remcos RAT ili SystemBC zlonamjernog softvera doprinose rastućem pejzažu prijetnji.

Kako pejzaž digitalnih prijetnji nastavlja da se razvija, otkriće vektora napada JinxLoader zlonamjernog softvera naglašava važnost stalne budnosti i robusnih mjera sajber bezbjednosti. Međusobno povezana priroda ovih prijetnji od korisnika zahteva sveobuhvatan i proaktivan pristup obavještajnim podacima o sajber prijetnjama za zaštitu digitalne imovine.

 

ZAŠTITA

Da bi ublažili rizike povezane sa infekcijama kradljivaca informacija, pojedinci i organizacije treba da daju prioritet mjerama sajber bezbjednosti:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.