来自Palo Alto Networks和Symantec的研究人员发出警告,称一种名为JinxLoader的基于Go语言的恶意软件加载器正在被用于传递Formbook和XLoader等后续有效负载。
这个威胁的名称源自于一个叫做《英雄联盟》的角色。Palo Alto Networks的Unit 42在2023年11月首次观察到这种恶意软件,并报告称自2023年4月30日起,它已在黑客论坛Hackforums上进行了广告宣传。
研究人员发现的攻击使用冒充阿布扎比国家石油公司(ADNOC)的钓鱼邮件。邮件内容试图诱使收件人打开一个有密码保护的RAR压缩文件。一旦打开该压缩文件,感染链就会启动,导致JinxLoader有效载荷的部署。
2023年11月29日(星期三):邮件 - > #JinxLoader - > #Formbook/#XLoader - IOCs详情请参见https://t.co/pkII3mJ0f3 - 值得注意的是,#JinxLoader是一个相对较新的恶意软件服务,首次发布于2023年04月30日。#Unit42ThreatIntel #TimelyThreatIntel #Wireshark pic.twitter.com/buM9OQeI4G — Unit 42 (@Unit42_Intel) November 30, 2023 该加载器的作者以每月60美元或每年120美元的价格提供服务,而终身许可证售价为200美元。
Unit42的研究人员报告称,感染链由八个步骤组成:JINXLOADER“一种新的Go语言编写的加载器,被称为JinxLoader,在地下论坛中流传。有报告表明它最近在恶意电子邮件中使用,用于加载Formbook等威胁。”Symantec发布的公告中写道:“这种恶意软件向《英雄联盟》的角色Jinx致敬,在其广告海报和C2登录面板上展示了该角色。JinxLoader的主要功能很简单-加载恶意软件。” Unit42发布了这种威胁的指标(IoCs)。在圣诞节前夕,Resecurity的HUNTER团队发现了Infostealer Meduza(2.2)的一个新版本。其中一些重要的改进包括支持更多的软件客户端(包括基于浏览器的加密货币钱包),升级的信用卡(CC)抓取程序,以及在各种平台上进行密码存储转储的其他高级机制,以提取凭据和令牌。总的来说,Meduza成为Azorult、Redline、Racoon和Vidar Stealer的一个强有力的竞争对手,这些恶意软件被黑客用于账户劫持(ATO)、网上银行盗窃和金融欺诈活动。
原文始发于微信公众号(黑猫安全):专家警告 JINXLOADER 加载器用于传播 FORMBOOK 和 XLOADER
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论