UULoaderi pahavara
Küberkurjategijad kasutavad järgnevate kahjulike koormuste edastamiseks uut pahavara tüve, mida tuntakse UULoaderi nime all. Selle pahavara tuvastanud teadlaste sõnul levib see rikutud installijate kaudu, kes esinevad legitiimsete rakendustena ja on peamiselt suunatud korea ja hiina keele kõnelejatele. Näitajad viitavad sellele, et UULoaderi võis välja töötada hiina keele kõneleja, kuna DLL-faili manustatud programmide andmebaasi (PDB) failidest on leitud hiina keele stringe. Seda pahavara kasutatakse kompromissijärgsete ohtude, nagu Gh0st RAT ja Mimikatz , juurutamiseks.
UULoaderi põhikomponendid on pakitud Microsoft Cabinet (.cab) arhiivi, mis sisaldab kahte peamist käivitatavat faili (.exe ja .dll), mille failipäised on eemaldatud.
Sisukord
Ohutegijad kasutavad UULoaderit täiendava pahavara edastamiseks
Üks käivitatavatest failidest on DLL-i külglaadimise suhtes haavatav seaduslik binaarfail, mida kasutatakse DLL-faili laadimiseks. See DLL käivitab lõpuks viimase etapi: ähmastatud faili nimega 'XamlHost.sys', mis sisaldab kaugjuurdepääsu tööriistu, nagu Gh0st RAT või Mimikatzi mandaadikoguja.
MSI installifail sisaldab ka Visual Basic Scripti (.vbs), mis käivitab käivitatava faili (nt Realtek) ja mõnes UULoaderi näidises käivitatakse tähelepanu kõrvalejuhtimiseks peibutusfail. See peibutis ühtib tavaliselt sellega, mida .msi-fail väidetavalt olevat. Näiteks kui installija maskeerub Chrome'i värskenduseks, on peibutis ehtne Chrome'i värskendus.
See pole esimene kord, kui Gh0st RAT juurutamiseks kasutatakse võltsitud Google Chrome'i installiprogramme. Eelmisel kuul teatas eSentire Hiina Windowsi kasutajatele suunatud ründeahelast, kasutades kaugjuurdepääsu trooja levitamiseks võltsitud Google Chrome'i saiti.
Petturid ja küberkurjategijad suurendavad krüptoteemaliste lantide kasutamist
Hiljuti on täheldatud ohutegijaid, kes loovad tuhandeid krüptovaluutateemalisi andmepüügisaite, mis on suunatud populaarsete krüptorahakotiteenuste (nt Coinbase, Exodus ja MetaMask) kasutajatele.
Need pahatahtlikud näitlejad kasutavad tasuta hostimisplatvorme, nagu Gitbook ja Webflow, et luua peibutussaite krüptorahakoti tüposquatteri alamdomeenidel. Need petlikud saidid meelitavad ohvreid ligi krüptorahakottide ja allalaadimislinkidega, mis viivad petturlike URL-ide juurde.
Need URL-id toimivad liikluse jaotussüsteemina (TDS), suunates kasutajad kas andmepüügisisule või, kui tööriist tuvastab külastaja turvauurijana, kahjututele lehtedele.
Lisaks on andmepüügikampaaniad India ja USA seaduslikud valitsusasutused, mis suunavad kasutajad tundliku teabe kogumiseks mõeldud võltsdomeenidele. Neid varastatud andmeid saab seejärel kasutada tulevaste pettuste, andmepüügi e-kirjade jaoks, valeinformatsiooni levitamiseks või pahavara levitamiseks.
AI Buzzi kasutatakse ka eksitavates kampaaniates
Sotsiaalse inseneri taktikad on ära kasutanud generatiivse tehisintellekti (AI) kasvu, et luua eksitavaid domeene, mis jäljendavad OpenAI ChatGPT-d, hõlbustades mitmesuguseid ohtlikke tegevusi, nagu andmepüügi, hallvara, lunavara ja käsu-ja juhtimise (C2) toimingud.
Märkimisväärne osa neist domeenidest kasutab generatiivse AI populaarsust, lisades märksõnu nagu „GPT” või „ChatGPT”. Eelkõige on üle kolmandiku nende äsja registreeritud domeenide liiklusest suunatud kahtlastele saitidele.
