Malware UULader
Kyberzločinci používají nový druh malwaru známý jako UULoader k poskytování následných škodlivých dat. Podle výzkumníků, kteří tento malware identifikovali, se šíří prostřednictvím poškozených instalačních programů vydávajících se za legitimní aplikace, které se primárně zaměřují na korejsky a čínsky mluvící uživatele. Indikátory naznačují, že UULoader mohl být vyvinut čínským mluvčím, protože v souborech databáze programů (PDB) vložených do souboru DLL byly nalezeny čínské řetězce. Tento malware je využíván k nasazování post-kompromisních hrozeb, jako jsou Gh0st RAT a Mimikatz .
Základní součásti UULoaderu jsou zabaleny v archivu Microsoft Cabinet (.cab), který obsahuje dva hlavní spustitelné soubory (exe a .dll), u kterých byla odstraněna záhlaví souborů.
Obsah
Aktéři hrozeb využívají UULoader k poskytování dalšího malwaru
Jeden ze spustitelných souborů je legitimní binární soubor zranitelný vůči načítání DLL z boku, který se zneužívá k načtení souboru DLL. Tato knihovna DLL nakonec spouští poslední fázi: zatemněný soubor s názvem „XamlHost.sys“, který obsahuje nástroje pro vzdálený přístup, jako je Gh0st RAT nebo nástroj pro sklizeň pověření Mimikatz.
Instalační soubor MSI také obsahuje skript jazyka Visual Basic (.vbs), který spouští spustitelný soubor – jako je Realtek – a v některých ukázkách UULoader je spuštěn návnadový soubor, který odvede pozornost. Tato návnada se obvykle shoduje s tím, co tvrdí soubor .msi. Pokud se například instalační program vydává za „aktualizaci Chromu“, bude návnadou pravá aktualizace Chromu.
Není to poprvé, co byly k nasazení Gh0st RAT použity falešné instalační programy Google Chrome. Minulý měsíc společnost eSentire ohlásila řetězec útoků zaměřených na čínské uživatele Windows pomocí falešného webu Google Chrome k distribuci trojského koně pro vzdálený přístup.
Podvodníci a kyberzločinci zvyšují používání návnad s tématikou kryptoměn
Aktéři hrozeb byli nedávno pozorováni při vytváření tisíců phishingových stránek s tématem kryptoměn, které cílí na uživatele populárních služeb kryptopeněženek, jako jsou Coinbase, Exodus a MetaMask.
Tito špatně smýšlející aktéři využívají bezplatné hostingové platformy, jako je Gitbook a Webflow, k vytvoření lákadel na subdoménách typosquatterů kryptopeněženek. Tyto klamavé stránky přitahují oběti informacemi o kryptopeněženkách a odkazy na stahování, které vedou na podvodné adresy URL.
Tyto adresy URL fungují jako systém distribuce provozu (TDS), který přesměrovává uživatele buď na phishingový obsah, nebo, pokud nástroj identifikuje návštěvníka jako bezpečnostního výzkumníka, na neškodné stránky.
Kromě toho se phishingové kampaně také vydávají za legitimní vládní subjekty v Indii a USA a přesměrovávají uživatele na falešné domény určené ke sběru citlivých informací. Tato odcizená data pak mohou být použita pro budoucí podvody, phishingové e-maily, šíření dezinformací nebo distribuci malwaru.
AI Buzz se také využívá v zavádějících kampaních
Taktiky sociálního inženýrství využily nárůstu generativní umělé inteligence (AI) k vytvoření zavádějících domén, které napodobují OpenAI ChatGPT, což usnadňuje různé nebezpečné aktivity, jako je phishing, grayware, ransomware a operace Command-and-Control (C2).
Značný počet těchto domén využívá popularity generativní umělé inteligence začleněním klíčových slov jako „GPT“ nebo „ChatGPT“. Je pozoruhodné, že více než třetina provozu na tyto nově registrované domény směřovala na podezřelé stránky.
