برنامج UULoader الخبيث
يستخدم مجرمو الإنترنت سلالة جديدة من البرامج الضارة المعروفة باسم UULoader لتوصيل حمولات ضارة لاحقة. ووفقًا للباحثين الذين حددوا هذا البرنامج الضار، فإنه ينتشر من خلال برامج التثبيت الفاسدة التي تنتحل صفة التطبيقات المشروعة، والتي تستهدف في المقام الأول المتحدثين بالكورية والصينية. تشير المؤشرات إلى أن UULoader ربما تم تطويره بواسطة متحدث صيني، حيث تم العثور على سلاسل صينية في ملفات قاعدة بيانات البرنامج (PDB) المضمنة داخل ملف DLL. يتم الاستفادة من هذا البرنامج الضار لنشر تهديدات ما بعد الاختراق، مثل Gh0st RAT و Mimikatz .
يتم تجميع المكونات الأساسية لبرنامج UULoader داخل أرشيف Microsoft Cabinet (.cab)، والذي يحتوي على ملفين تنفيذيين رئيسيين (.exe و.dll) تم إزالة رؤوس ملفاتهما.
جدول المحتويات
يستخدم الجهات الفاعلة في مجال التهديد UULoader لتقديم برامج ضارة إضافية
أحد الملفات القابلة للتنفيذ عبارة عن ملف ثنائي شرعي معرض لخطر التحميل الجانبي لملف DLL، والذي يتم استغلاله لتحميل ملف DLL. يؤدي هذا الملف DLL في النهاية إلى تشغيل المرحلة النهائية: ملف مشوش يسمى "XamlHost.sys" يحتوي على أدوات الوصول عن بُعد مثل Gh0st RAT أو أداة جمع بيانات الاعتماد Mimikatz.
يتضمن ملف تثبيت MSI أيضًا نصًا برمجيًا لـ Visual Basic (.vbs) يقوم بتشغيل الملف القابل للتنفيذ—مثل Realtek—وفي بعض عينات UULoader، يتم تشغيل ملف وهمي لتحويل الانتباه. يتوافق هذا الملف الوهمي عادةً مع ما يدعيه ملف .msi. على سبيل المثال، إذا كان برنامج التثبيت يتنكر في هيئة "تحديث Chrome"، فسيكون الملف الوهمي تحديثًا حقيقيًا لـ Chrome.
هذه ليست المرة الأولى التي يتم فيها استخدام مثبتات مزيفة لمتصفح Google Chrome لنشر Gh0st RAT. في الشهر الماضي، أبلغت شركة eSentire عن سلسلة هجمات تستهدف مستخدمي Windows الصينيين، باستخدام موقع مزيف لمتصفح Google Chrome لتوزيع حصان طروادة للوصول عن بُعد.
المحتالون ومجرمو الإنترنت يكثفون استخدام الإغراءات ذات الطابع المشفر
لقد لوحظ مؤخرًا قيام جهات تهديد بإنشاء آلاف مواقع التصيد ذات الطابع المشفر والتي تستهدف مستخدمي خدمات محافظ العملات المشفرة الشهيرة مثل Coinbase و Exodus و MetaMask.
يستغل هؤلاء الفاعلون سيئو النية منصات الاستضافة المجانية مثل Gitbook وWebflow لإنشاء مواقع إغراء على نطاقات فرعية لمحافظ العملات المشفرة. تجتذب هذه المواقع المخادعة الضحايا بمعلومات حول محافظ العملات المشفرة وروابط التنزيل التي تؤدي إلى عناوين URL احتيالية.
تعمل عناوين URL هذه كنظام توزيع حركة المرور (TDS)، حيث تعمل على إعادة توجيه المستخدمين إما إلى محتوى التصيد أو، إذا حددت الأداة الزائر باعتباره باحثًا أمنيًا، إلى صفحات غير ضارة.
بالإضافة إلى ذلك، تنتحل حملات التصيد الاحتيالي صفة جهات حكومية شرعية في الهند والولايات المتحدة، حيث تعيد توجيه المستخدمين إلى نطاقات مزيفة مصممة لجمع معلومات حساسة. ويمكن بعد ذلك استخدام هذه البيانات المسروقة في عمليات احتيال مستقبلية أو رسائل تصيد احتيالي عبر البريد الإلكتروني أو نشر معلومات مضللة أو توزيع برامج ضارة.
تم استغلال AI Buzz أيضًا في الحملات المضللة
استغلت تكتيكات الهندسة الاجتماعية الارتفاع الكبير في الذكاء الاصطناعي التوليدي لإنشاء مجالات مضللة تحاكي OpenAI ChatGPT، مما يسهل العديد من الأنشطة غير الآمنة مثل التصيد الاحتيالي والبرامج الرمادية وبرامج الفدية وعمليات القيادة والتحكم (C2).
يستغل عدد كبير من هذه المجالات شعبية الذكاء الاصطناعي التوليدي من خلال دمج كلمات رئيسية مثل "GPT" أو "ChatGPT". والجدير بالذكر أن أكثر من ثلث حركة المرور إلى هذه المجالات المسجلة حديثًا تم توجيهها نحو مواقع مشبوهة.
