Зловреден софтуер UULoader
Киберпрестъпниците използват нов вид зловреден софтуер, известен като UULoader, за да доставят последващи вредни полезни товари. Според изследователите, които са идентифицирали този зловреден софтуер, той се разпространява чрез повредени инсталатори, представящи се за легитимни приложения, насочени предимно към корейски и китайски говорители. Индикаторите предполагат, че UULoader може да е разработен от китайски говорител, тъй като са намерени китайски низове във файловете на базата данни на програмата (PDB), вградени в DLL файла. Този злонамерен софтуер се използва за внедряване на заплахи след компрометиране, като Gh0st RAT и Mimikatz .
Основните компоненти на UULoader са пакетирани в архив на Microsoft Cabinet (.cab), съдържащ два основни изпълними файла (.exe и .dll), чиито файлови заглавки са премахнати.
Съдържание
Актьорите на заплахи използват UULoader, за да доставят допълнителен зловреден софтуер
Един от изпълнимите файлове е легитимен двоичен файл, уязвим към DLL странично зареждане, което се използва за зареждане на DLL файл. Този DLL в крайна сметка задейства последния етап: обфусциран файл с име „XamlHost.sys“, който съдържа инструменти за отдалечен достъп като Gh0st RAT или Mimikatz credential harvester.
Инсталационният файл на MSI включва също Visual Basic Script (.vbs), който стартира изпълнимия файл - като Realtek - и в някои примери на UULoader се изпълнява примамващ файл, за да се отклони вниманието. Тази примамка обикновено се подравнява с това, което .msi файлът твърди, че е. Например, ако инсталаторът се маскира като „актуализация на Chrome“, примамката ще бъде истинска актуализация на Chrome.
Това не е първият път, когато фалшиви инсталатори на Google Chrome се използват за внедряване на Gh0st RAT. Миналия месец eSentire съобщи за верига от атаки, насочена към китайски потребители на Windows, използвайки фалшив сайт на Google Chrome за разпространение на троянския кон за отдалечен достъп.
Измамниците и киберпрестъпниците увеличават използването на крипто-тематични примамки
Наскоро бяха наблюдавани участници в заплахи, които създават хиляди фишинг сайтове с тематика на криптовалута, насочени към потребители на популярни услуги за крипто портфейли като Coinbase, Exodus и MetaMask.
Тези злонамерени актьори използват безплатни хостинг платформи като Gitbook и Webflow, за да създадат примамливи сайтове в поддомейни на typosquatter на крипто портфейла. Тези измамни сайтове привличат жертвите с информация за крипто-портфейли и връзки за изтегляне, които водят до измамни URL адреси.
Тези URL адреси функционират като система за разпределение на трафика (TDS), пренасочвайки потребителите към фишинг съдържание или, ако инструментът идентифицира посетителя като изследовател на сигурността, към безвредни страници.
Освен това фишинг кампаниите също се представят за законни правителствени организации в Индия и САЩ, пренасочвайки потребителите към фалшиви домейни, предназначени да събират чувствителна информация. След това тези откраднати данни могат да бъдат използвани за бъдещи измами, фишинг имейли, разпространение на дезинформация или злонамерен софтуер.
AI Buzz също се използва в подвеждащи кампании
Тактиките на социалното инженерство се възползваха от нарастването на генеративния изкуствен интелект (AI) за създаване на подвеждащи домейни, които имитират OpenAI ChatGPT, улеснявайки различни опасни дейности като фишинг, грайуер, рансъмуер и операции за командване и контрол (C2).
Значителен брой от тези домейни се възползват от популярността на генеративния AI, като включват ключови думи като „GPT“ или „ChatGPT“. Трябва да се отбележи, че над една трета от трафика към тези новорегистрирани домейни е насочен към подозрителни сайтове.
