En un alarmante desarrollo en el panorama de la ciberseguridad, los investigadores de Palo Alto Networks Unit 42 han descubierto un nuevo cargador de malware Go-based llamado JinxLoader, utilizado por actores de amenazas para distribuir amenazas avanzadas como Formbook y su sucesor XLoader.
El malware, que debe su nombre al personaje de League of Legends, Jinx, ha sido identificado en secuencias de ataque de varios pasos, principalmente a través de campañas de phishing. Symantec señala que el malware rinde homenaje a Jinx al presentar al personaje en su cartel publicitario y en el panel de inicio de sesión del comando y control.
La función principal de JinxLoader es simple pero peligrosa: cargar malware en los sistemas infectados. Se informa que el servicio de este malware se anunció por primera vez en hackforums[.] net a finales de noviembre de 2023, con precios que oscilan entre $60 al mes, $120 al año o una tarifa de por vida de $200.
Los ataques con JinxLoader comienzan con correos electrónicos de phishing que se hacen pasar por la Abu Dhabi National Oil Company (ADNOC). Estos correos instan a los destinatarios a abrir archivos adjuntos RAR protegidos con contraseña. Al abrirse, estos archivos liberan el ejecutable JinxLoader, que actúa como una puerta de enlace para la entrega de Formbook o XLoader.
Este descubrimiento surge en un contexto de aumento de las infecciones de malware, incluida la propagación de una nueva familia de malware de cargador llamada Rugmi, que ESET ha identificado recientemente. Además, se han observado campañas de distribución de DarkGate y PikaBot, y el grupo de amenazas TA544 ha aprovechado nuevas variantes de malware de carga denominado IDAT Loader para implementar Remcos RAT o SystemBC.
En el complicado panorama de los ladrones de información, los actores detrás de Meduza Stealer han lanzado una versión actualizada (versión 2.2) con soporte ampliado para billeteras de criptomonedas basadas en navegador y un mejorado capturador de tarjetas de crédito.
La comunidad de ciberseguridad también ha identificado una nueva amenaza: la familia de ladrones Vortex Stealer. Capaz de filtrar datos del navegador, tokens de Discord, sesiones de Telegram y archivos de menos de 2 MB de tamaño, este malware publica la información robada en plataformas como Gofile, Anonfiles, Discord y Telegram.
Este último descubrimiento subraya la continua evolución y sofisticación de las amenazas cibernéticas. La ciberseguridad se vuelve más crucial que nunca, y la conciencia y la protección contra estos ataques son fundamentales para salvaguardar la integridad de los sistemas y datos.
