RenEngine kampány
A Securelist egy összetett, több összetevős malware-kampányt mutat be, amely legalább három különböző rosszindulatú komponens, a HijackLoader, a LUMMA stealer és az ACR stealer együttese alkotja a kampányt amelyet támadók különböző célok és taktikák szerint irányítanak.
A kampány bevezető lépése gyakran egy rosszindulatú telepítő vagy betöltő-modul, a HijackLoader, amelyet általában e-mailes adathalász vagy más pszichológiai megtévesztési módszerek juttatnak be. Ez a betöltő nem közvetlenül egy végleges malware-t futtat, hanem dinamikusan, futásidőben szerzi meg a további rosszindulatú összetevőket, így megnehezítve a statikus vizsgálatot és a korai észlelést. A Kaspersky szerint a HijackLoader maga is olyan technikákat használ, amelyek kitérnek az észlelés elől, például obfuszkált komponenseket és többlépcsős dekódolást.
Miután a loader megindítja a fertőzést, előtérbe lépnek a két különálló stealer modul. A LUMMA infostealer böngésző jelszavak, cookie-k, kriptotárca-adatok és egyéb hitelesítők megszerzésére specializálódott. Ez különösen veszélyes, mert ezek az adatok nem csak azonnali hozzáférést adhatnak banki vagy fiók-szolgáltatásokhoz, hanem hosszú távú visszaélések alapjai is lehetnek. A másik komponens, az ACR stealer, hasonlóan széles körű információkinyerést végez, de gyakran kiegészítő adatokat, rendszer-azonosító információkat és további kontextust is gyűjt, amit a támadók később célzottabb műveletekhez használhatnak fel.
