Peneliti cybersecurity memperingatkan kampanye baru yang memanfaatkan versi perangkat lunak yang retak sebagai umpan untuk mendistribusikan pencuri informasi seperti Lumma dan ACR Stealer.
Pusat Intelijen Keamanan Ahnlab (ASEC) mengatakan telah mengamati lonjakan volume distribusi pencuri ACR sejak Januari 2025.
Aspek penting dari malware pencuri adalah penggunaan teknik yang disebut Dead Drop Resolver untuk mengekstrak server perintah-dan-kontrol (C2) yang sebenarnya. Ini termasuk mengandalkan layanan yang sah seperti Steam, Telegram's Telegraph, Google Forms, dan Google Slide.
“Aktor ancaman memasuki domain C2 yang sebenarnya di Base64 encoding pada halaman tertentu,” kata Asec. “Malware mengakses halaman ini, mem -parsing string, dan memperoleh alamat domain C2 yang sebenarnya untuk melakukan perilaku jahat.”
Pencuri ACR, yang sebelumnya didistribusikan melalui malware Loader HiJack, mampu memanen berbagai informasi dari sistem yang dikompromikan, termasuk file, data browser web, dan ekstensi dompet cryptocurrency.
Pengembangan datang ketika ASEC mengungkapkan kampanye lain yang menggunakan file dengan ekstensi “MSC,” yang dapat dieksekusi oleh Microsoft Management Console (MMC), untuk mengirimkan malware pencuri rhadamanthys.
“Ada dua jenis malware MSC: satu mengeksploitasi kerentanan APDS.dll (CVE-2024-43572), dan yang lainnya mengeksekusi perintah 'perintah' menggunakan TaskPad konsol,” kata perusahaan Korea Selatan itu.
“File MSC disamarkan sebagai dokumen MS Word.” Ketika tombol 'Buka' diklik, ia mengunduh dan menjalankan skrip PowerShell dari sumber eksternal. Skrip PowerShell yang diunduh berisi file exe (rhadamanthys). “
CVE-2024-43572, juga disebut GrimResource, pertama kali didokumentasikan oleh laboratorium keamanan elastis pada Juni 2024 telah dieksploitasi oleh aktor jahat sebagai zero-day. Itu ditambal oleh Microsoft pada Oktober 2024.
Kampanye malware juga telah diamati mengeksploitasi platform dukungan obrolan seperti Zendesk, menyamar sebagai pelanggan untuk menipu agen dukungan yang tidak curiga agar mengunduh pencuri bernama Zhong Stealer.
Menurut sebuah laporan baru -baru ini yang diterbitkan oleh Hudson Rock, lebih dari 30.000.000 komputer telah terinfeksi oleh pencuri informasi dalam “beberapa tahun terakhir,” yang mengarah pada pencurian kredensial perusahaan dan cookie sesi yang kemudian dapat dijual oleh penjahat cyber di forum bawah tanah ke aktor lain untuk keuntungan.
Para pembeli dapat mempersenjatai akses yang diberikan oleh kredensial ini untuk melakukan tindakan pasca-eksploitasi mereka sendiri, yang mengarah pada risiko yang parah. Perkembangan ini berfungsi untuk menyoroti peran yang dimainkan oleh pencuri malware sebagai vektor akses awal yang menyediakan pijakan ke lingkungan perusahaan yang sensitif.
“Untuk hanya $ 10 per log (komputer), penjahat cyber dapat membeli data curian dari karyawan yang bekerja di sektor pertahanan dan militer rahasia,” kata Hudson Rock. “Infostealer Intelligence bukan hanya tentang mendeteksi siapa yang terinfeksi-ini tentang memahami jaringan penuh kredensial yang dikompromikan dan risiko pihak ketiga.”
Selama setahun terakhir, para aktor ancaman juga telah meningkatkan upaya untuk menyebarkan berbagai keluarga malware, termasuk pencuri dan akses jarak jauh (tikus), melalui teknik yang disebut clickfix yang sering memerlukan pengalihan pengguna untuk memalsukan halaman verifikasi captcha yang menginstruksikan mereka untuk menyalin dan mengeksekusi perintah powershell jahat.
Salah satu muatan yang dijatuhkan adalah I2Prat, yang menggunakan jaringan anonimisasi I2P untuk menganonimkan server C2 terakhirnya.
“Malware adalah ancaman lanjutan yang terdiri dari banyak lapisan, masing -masing menggabungkan mekanisme canggih,” kata Sekoia. “Penggunaan jaringan anonimisasi memperumit pelacakan dan menghambat identifikasi besarnya ancaman dan menyebar di alam liar.”
