新的 Rugmi 恶意软件加载程序激增，每日检测到数百次

威胁行为者正在使用新的恶意软件加载程序来提供各种信息窃取程序，例如 Lumma Stealer（又名 LummaC2）、Vidar、RecordBreaker（又名 Raccoon Stealer V2）和Rescoms。

网络安全公司 ESET 正在追踪名为Win/TrojanDownloader.Rugmi 的木马。

该公司表示：“该恶意软件是一个具有三种类型组件的加载程序：一个下载加密有效负载的下载程序，一个从内部资源运行有效负载的加载程序，以及另一个从磁盘上的外部文件运行有效负载的加载程序。” 2023 年下半年威胁报告。

该公司收集的遥测数据显示，Rugmi 装载机的检测量在 2023 年 10 月和 11 月激增，从每日个位数激增至每天数百个。

网络安全
窃取者恶意软件通常以恶意软件即服务 (MaaS) 模式以订阅方式出售给其他威胁参与者。例如，Lumma Stealer 在地下论坛上的广告价格为每月 250 美元。最昂贵的计划花费 20,000 美元，但它也让客户能够访问源代码并有权出售它。

有证据表明与 Mars、Arkei 和 Vidar 窃取者相关的代码库已被重新用于创建 Lumma。

除了不断调整其策略来逃避检测之外，这个现成的工具还通过各种方式进行分发，从恶意广告到虚假浏览器更新，再到 VLC 媒体播放器和 OpenAI ChatGPT 等流行软件的破解安装。
正如趋势科技在 2023 年 10 月披露的那样，另一种技术涉及使用 Discord 的内容分发网络 (CDN) 来托管和传播恶意软件。

这需要利用随机和受损的 Discord 帐户的组合来向潜在目标发送直接消息，向他们提供 10 美元或 Discord Nitro 订阅，以换取他们对项目的帮助。

然后，同意该提议的用户会被敦促下载托管在Discord CDN上的可执行文件，该文件伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 有效负载。

ESET 表示：“现成的恶意软件解决方案有助于恶意活动的扩散，因为它们甚至使技术水平较低的威胁行为者也可以使用恶意软件。”

网络安全
“提供更广泛的功能可以使 Lumma Stealer 作为产品更具吸引力。”

此次披露之际，McAfee Labs 披露了NetSupport RAT的新变体，该变体源自其合法的前身 NetSupport Manager，此后已被初始访问代理用来收集信息并对感兴趣的受害者执行其他操作。

迈克菲表示：“感染始于混淆的 JavaScript 文件，作为恶意软件的初始入口点。”他补充说，这凸显了“网络犯罪分子所采用的不断演变的策略”。

JavaScript 文件的执行通过运行 PowerShell 命令从攻击者控制的服务器检索远程控制和窃取恶意软件来推进攻击链。该活动的主要目标包括美国和加拿大