بدافزار UULoader
مجرمان سایبری از نوع جدیدی از بدافزار به نام UULoader برای تحویل بارهای مضر بعدی استفاده می کنند. به گفته محققانی که این بدافزار را شناسایی کردهاند، از طریق نصبکنندههای خراب که خود را به عنوان برنامههای کاربردی قانونی معرفی میکنند، پخش میشود که عمدتاً سخنرانان کرهای و چینی را هدف قرار میدهند. شاخصها نشان میدهند که UULoader ممکن است توسط یک سخنران چینی توسعه داده شده باشد، زیرا رشتههای چینی در فایلهای پایگاه داده برنامه (PDB) تعبیهشده در فایل DLL یافت شده است. این بدافزار برای استقرار تهدیدات پس از سازش، مانند Gh0st RAT و Mimikatz استفاده میشود.
اجزای اصلی UULoader در یک بایگانی کابینت مایکروسافت (cab.) بسته بندی شده اند، که شامل دو فایل اجرایی اصلی (یک exe. و یک dll.) است که سرصفحه فایل آنها حذف شده است.
فهرست مطالب
بازیگران تهدید از UULoader برای ارائه بدافزار اضافی استفاده می کنند
یکی از فایل های اجرایی یک آسیب پذیر باینری قانونی در برابر بارگذاری جانبی DLL است که برای بارگذاری یک فایل DLL مورد سوء استفاده قرار می گیرد. این DLL در نهایت مرحله نهایی را آغاز می کند: یک فایل مبهم به نام "XamlHost.sys" که حاوی ابزارهای دسترسی از راه دور مانند Gh0st RAT یا برداشت کننده اعتبار Mimikatz است.
فایل نصب کننده MSI همچنین شامل یک اسکریپت ویژوال بیسیک (.vbs) است که فایل اجرایی را راه اندازی می کند - مانند Realtek - و در برخی از نمونه های UULoader، یک فایل فریبنده برای منحرف کردن توجه اجرا می شود. این طعمه معمولاً با آنچه که فایل .msi ادعا می کند هماهنگ است. به عنوان مثال، اگر نصب کننده خود را به عنوان یک «بهروزرسانی کروم» نشان دهد، این ابزار یک بهروزرسانی واقعی کروم خواهد بود.
این اولین باری نیست که از نصب کننده های جعلی Google Chrome برای استقرار Gh0st RAT استفاده می شود. ماه گذشته، eSentire یک زنجیره حمله را گزارش کرد که کاربران چینی ویندوز را با استفاده از یک سایت جعلی Google Chrome برای توزیع تروجان دسترسی از راه دور هدف قرار میداد.
کلاهبرداران و مجرمان سایبری استفاده از فریب های رمزنگاری را افزایش می دهند
عوامل تهدید اخیراً مشاهده شدهاند که هزاران سایت فیشینگ با موضوع ارزهای دیجیتال را ایجاد کردهاند که کاربران سرویسهای کیف پول رمزنگاری محبوب مانند Coinbase، Exodus و MetaMask را هدف قرار میدهند.
این بازیگران بد فکر از پلتفرمهای میزبانی رایگان مانند Gitbook و Webflow برای راهاندازی سایتهای فریبنده در زیر دامنههای تایپوسکواتر کیف پولهای دیجیتال استفاده میکنند. این سایتهای فریبنده با اطلاعاتی در مورد کیف پولهای رمزنگاری و لینکهای دانلود که منجر به URLهای جعلی میشوند، قربانیان را جذب میکنند.
این URL ها به عنوان یک سیستم توزیع ترافیک (TDS) عمل می کنند و کاربران را به سمت محتوای فیشینگ هدایت می کنند یا اگر ابزار بازدیدکننده را به عنوان یک محقق امنیتی شناسایی کند، به صفحات بی ضرر هدایت می کند.
علاوه بر این، کمپین های فیشینگ نیز به عنوان نهادهای دولتی قانونی در هند و ایالات متحده ظاهر می شوند و کاربران را به دامنه های جعلی که برای جمع آوری اطلاعات حساس طراحی شده اند هدایت می کنند. این دادههای دزدیده شده را میتوان برای کلاهبرداریهای آینده، ایمیلهای فیشینگ، انتشار اطلاعات نادرست یا توزیع بدافزار استفاده کرد.
AI Buzz همچنین در کمپین های گمراه کننده مورد سوء استفاده قرار گرفت
تاکتیکهای مهندسی اجتماعی از افزایش هوش مصنوعی مولد (AI) برای ایجاد دامنههای گمراهکننده که از OpenAI ChatGPT تقلید میکنند، استفاده کردهاند و فعالیتهای ناامن مختلف مانند فیشینگ، خاکستریافزار، باجافزار و عملیات فرماندهی و کنترل (C2) را تسهیل میکنند.
تعداد قابل توجهی از این دامنه ها با ترکیب کلمات کلیدی مانند "GPT" یا "ChatGPT" از محبوبیت هوش مصنوعی مولد سوء استفاده می کنند. قابل ذکر است که بیش از یک سوم ترافیک این دامنه های تازه ثبت شده به سمت سایت های مشکوک هدایت شده است.
