I ricercatori di Cybersecurity stanno avvertendo una nuova campagna che sfrutta le versioni crollate di software program come esca per distribuire furti di informazioni come Lumma e ACR Stealer.
L’Ahnlab Safety Intelligence Middle (ASEC) ha dichiarato di aver osservato un picco nel quantity di distribuzione di ACR Stealer dal gennaio 2025.
Un aspetto notevole del malware del furto è l’uso di una tecnica chiamata Resolver di caduta morto Per estrarre il server di comando e controllo (C2) effettivo. Ciò embody fare affidamento su servizi legittimi come Steam, Telegram’s Telegraph, Google Kinds e Google Slides.
“Gli attori delle minacce inseriscono il dominio C2 effettivo nella codifica di base64 su una pagina specifica”, ASEC disse. “Il malware accede a questa pagina, analizza la stringa e ottiene l’indirizzo del dominio C2 effettivo per eseguire comportamenti dannosi.”
Acr Stealer, in precedenza distribuito Tramite il malware del caricatore di hijack è in grado di raccogliere una vasta gamma di informazioni da sistemi compromessi, inclusi file, dati del browser Internet ed estensioni del portafoglio di criptovaluta.
Lo sviluppo arriva quando ASEC ha rivelato un’altra campagna che utilizza i file con l’estensione “MSC”, che può essere eseguita dalla Microsoft Administration Console (MMC), per consegnare il Rhadamanthys Malware del furto.
“Esistono due tipi di malware MSC: si sfrutta la vulnerabilità di apds.dll (CVE-2024-43572) e l’altro esegue il comando” comando “utilizzando la console TaskPad” disse.
“Il file MSC è mascherato come un documento MS Phrase.” Quando si fa clic sul pulsante “Apri”, scarica ed esegue uno script PowerShell da una fonte esterna. Lo script PowerShell scaricato contiene un file exe (Rhadamanthys). “
CVE-2024-43572, chiamato anche Grimresourceè stato documentato per la prima volta dagli elastic Safety Labs nel giugno 2024 come sfruttato da attori dannosi come zero-day. Period patchato di Microsoft nell’ottobre 2024.
Anche le campagne di malware sono state osservato Sfruttare piattaforme di supporto alla chat come Zendesk, mascherando i clienti per ingannare gli agenti di supporto ignari nel scaricare un furto chiamato Zhong Stealer.
Secondo un recente rapporto pubblicato da Hudson Rock, oltre 30.000.000 di pc sono stati infettati da furti di informazioni negli “ultimi anni”, portando al furto di credenziali aziendali e cookie di sessione che potrebbero quindi essere venduti dai criminali informatici su discussion board sotterranei advert altri attori a scopo di lucro.
Gli acquirenti potrebbero armare l’accesso concesso da queste credenziali per organizzare azioni post-sfruttamento, portando a gravi rischi. Questi sviluppi servono a evidenziare il ruolo svolto dal malware del furto come un Vettore di accesso iniziale Ciò fornisce un punto d’appoggio a ambienti aziendali sensibili.
“Per un minimo di $ 10 per registro (pc), i criminali informatici possono acquistare dati rubati da dipendenti che lavorano in settori di difesa e militare classificati”, Hudson Rock disse. “Infostealer Intelligence non è solo di rilevare chi è infetto-si tratta di comprendere l’intera rete di credenziali compromesse e rischi di terze parti.”
Nell’ultimo anno, anche gli attori delle minacce hanno aumentato gli sforzi per diffondere una varietà di famiglie di malware, tra cui furti e trojan (ratti) di accesso remoto, attraverso una tecnica chiamata ClickFix Ciò comporta spesso il reindirizzamento degli utenti alle pagine di verifica falsificate CAPTCHA che istruiscono loro a copiare ed eseguire comandi nefasti di PowerShell.
Uno di questi payload rilasciato è I2pratche impiega la rete di anonimo I2P per anonimo il suo server C2 finale.
“Il malware è una minaccia avanzata composta da più livelli, ciascuno che incorpora meccanismi sofisticati”, Sekoia disse. “L’uso di una rete di anonimizzazione complica il monitoraggio e ostacola l’identificazione della grandezza della minaccia e si diffonde in natura.”
