Κακόβουλο λογισμικό UULoader
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ένα νέο είδος κακόβουλου λογισμικού γνωστό ως UULoader για την παράδοση επακόλουθων επιβλαβών φορτίων. Σύμφωνα με τους ερευνητές που εντόπισαν αυτό το κακόβουλο λογισμικό, διαδίδεται μέσω κατεστραμμένων εγκαταστατών που παρουσιάζονται ως νόμιμες εφαρμογές, που στοχεύουν κυρίως ομιλητές της Κορέας και της Κίνας. Οι δείκτες υποδηλώνουν ότι το UULoader μπορεί να έχει αναπτυχθεί από έναν κινέζικο ομιλητή, καθώς έχουν βρεθεί κινεζικές συμβολοσειρές στα αρχεία της βάσης δεδομένων του προγράμματος (PDB) που είναι ενσωματωμένα στο αρχείο DLL. Αυτό το κακόβουλο λογισμικό αξιοποιείται για την ανάπτυξη απειλών μετά τον συμβιβασμό, όπως το Gh0st RAT και το Mimikatz .
Τα βασικά στοιχεία του UULoader συσκευάζονται σε ένα αρχείο του Microsoft Cabinet (.cab), το οποίο περιέχει δύο κύρια εκτελέσιμα αρχεία (ένα .exe και ένα .dll) που έχουν αφαιρέσει τις κεφαλίδες των αρχείων τους.
Πίνακας περιεχομένων
Οι ηθοποιοί απειλών χρησιμοποιούν το UULoader για να παραδώσουν πρόσθετο κακόβουλο λογισμικό
Ένα από τα εκτελέσιμα είναι ένα νόμιμο δυαδικό ευάλωτο σε πλευρική φόρτωση DLL, το οποίο αξιοποιείται για τη φόρτωση ενός αρχείου DLL. Αυτό το DLL ενεργοποιεί τελικά το τελικό στάδιο: ένα ασαφές αρχείο με το όνομα «XamlHost.sys» που περιέχει εργαλεία απομακρυσμένης πρόσβασης, όπως το Gh0st RAT ή τον συγκομιστή διαπιστευτηρίων Mimikatz.
Το αρχείο εγκατάστασης MSI περιλαμβάνει επίσης μια δέσμη ενεργειών της Visual Basic (.vbs) που εκκινεί το εκτελέσιμο αρχείο—όπως το Realtek—και σε ορισμένα δείγματα UULoader, εκτελείται ένα αρχείο δόλωμα για να εκτραπεί η προσοχή. Αυτό το δόλωμα συνήθως ευθυγραμμίζεται με αυτό που ισχυρίζεται ότι είναι το αρχείο .msi. Για παράδειγμα, εάν το πρόγραμμα εγκατάστασης μεταμφιεσθεί ως "ενημέρωση Chrome", το δόλωμα θα είναι μια γνήσια ενημέρωση του Chrome.
Δεν είναι η πρώτη φορά που χρησιμοποιούνται πλαστά προγράμματα εγκατάστασης του Google Chrome για την ανάπτυξη του Gh0st RAT. Τον περασμένο μήνα, το eSentire ανέφερε μια αλυσίδα επιθέσεων που στόχευε Κινέζους χρήστες των Windows, χρησιμοποιώντας έναν ψεύτικο ιστότοπο του Google Chrome για τη διανομή του trojan απομακρυσμένης πρόσβασης.
Οι απατεώνες και οι κυβερνοεγκληματίες αυξάνουν τη χρήση των δολωμάτων με κρυπτογραφικό θέμα
Πρόσφατα παρατηρήθηκε ότι παράγοντες απειλών δημιουργούν χιλιάδες ιστότοπους phishing με θέμα τα κρυπτονομίσματα που στοχεύουν χρήστες δημοφιλών υπηρεσιών κρυπτογραφικού πορτοφολιού όπως το Coinbase, το Exodus και το MetaMask.
Αυτοί οι κακομαθημένοι ηθοποιοί αξιοποιούν δωρεάν πλατφόρμες φιλοξενίας, όπως το Gitbook και το Webflow, για να δημιουργήσουν ιστοτόπους δελεασμού σε υποτομείς typosquatter πορτοφολιών κρυπτογράφησης. Αυτές οι παραπλανητικές τοποθεσίες προσελκύουν θύματα με πληροφορίες σχετικά με κρυπτοπορτοφόλια και συνδέσμους λήψης που οδηγούν σε δόλια URL.
Αυτές οι διευθύνσεις URL λειτουργούν ως σύστημα διανομής επισκεψιμότητας (TDS), ανακατευθύνοντας τους χρήστες είτε σε περιεχόμενο phishing είτε, εάν το εργαλείο προσδιορίζει τον επισκέπτη ως ερευνητή ασφάλειας, σε αβλαβείς σελίδες.
Επιπλέον, οι καμπάνιες phishing παρουσιάζονται επίσης ως νόμιμες κυβερνητικές οντότητες στην Ινδία και τις ΗΠΑ, ανακατευθύνοντας τους χρήστες σε ψεύτικους τομείς που έχουν σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών. Αυτά τα κλεμμένα δεδομένα μπορούν στη συνέχεια να χρησιμοποιηθούν για μελλοντικές απάτες, ηλεκτρονικό ψάρεμα, διάδοση παραπληροφόρησης ή διανομή κακόβουλου λογισμικού.
Το AI Buzz έγινε επίσης αντικείμενο εκμετάλλευσης σε παραπλανητικές καμπάνιες
Οι τακτικές κοινωνικής μηχανικής έχουν αξιοποιήσει την άνοδο της γενετικής τεχνητής νοημοσύνης (AI) για να δημιουργήσουν παραπλανητικούς τομείς που μιμούνται το OpenAI ChatGPT, διευκολύνοντας διάφορες μη ασφαλείς δραστηριότητες όπως phishing, grayware, ransomware και λειτουργίες Command-and-Control (C2).
Ένας σημαντικός αριθμός αυτών των τομέων εκμεταλλεύεται τη δημοτικότητα της γενετικής τεχνητής νοημοσύνης ενσωματώνοντας λέξεις-κλειδιά όπως "GPT" ή "ChatGPT". Συγκεκριμένα, πάνω από το ένα τρίτο της επισκεψιμότητας σε αυτούς τους πρόσφατα καταχωρημένους τομείς έχει κατευθυνθεί προς ύποπτους ιστότοπους.
