תוכנה זדונית של UULoader
פושעי סייבר משתמשים בזן חדש של תוכנות זדוניות המכונה UULoader כדי לספק מטענים מזיקים הבאים. לפי החוקרים שזיהו את התוכנה הזדונית הזו, היא מופצת באמצעות מתקינים פגומים המתחזות ליישומים לגיטימיים, בעיקר מכוונים לדוברי קוריאנית וסינית. אינדיקטורים מצביעים על כך שייתכן ש-UULoader פותח על ידי דובר סינית, מכיוון שנמצאו מחרוזות סיניות בקבצי מסד הנתונים של התוכנית (PDB) המוטמעים בתוך קובץ ה-DLL. תוכנה זדונית זו מנופתת לפריסת איומים לאחר פשרה, כגון Gh0st RAT ו- Mimikatz .
רכיבי הליבה של UULoader ארוזים בתוך ארכיון Microsoft Cabinet (.cab), המכיל שני קובצי הפעלה עיקריים (.exe ו-.dll) שכותרות הקבצים שלהם הוסרו.
תוכן העניינים
שחקני איומים משתמשים ב-UULoader כדי לספק תוכנות זדוניות נוספות
אחד מקובצי ההפעלה הוא קובץ בינארי לגיטימי הפגיע לטעינת צד של DLL, אשר מנוצל לטעינת קובץ DLL. DLL זה מפעיל בסופו של דבר את השלב האחרון: קובץ מעורפל בשם 'XamlHost.sys' המכיל כלי גישה מרחוק כגון Gh0st RAT או מקצר האישורים של Mimikatz.
קובץ ההתקנה של MSI כולל גם סקריפט Visual Basic (.vbs) שמפעיל את קובץ ההפעלה - כגון Realtek - ובחלק מדגימות UULoader, קובץ פיתוי מופעל כדי להסיט את תשומת הלב. פתיל זה בדרך כלל מתיישב עם מה שקובץ ה-.msi טוען שהוא. לדוגמה, אם המתקין מתחזה ל'עדכון כרום', הפתיל יהיה עדכון Chrome מקורי.
זו לא הפעם הראשונה שבה נעשה שימוש במתקינים מזויפים של Google Chrome לפריסת Gh0st RAT. בחודש שעבר, eSentire דיווחה על שרשרת תקיפה המכוונת למשתמשי Windows סיניים, תוך שימוש באתר מזויף של גוגל כרום כדי להפיץ את הטרויאני עם גישה מרחוק.
רמאים ופושעי סייבר מגבירים את השימוש בפתיונות בנושא קריפטו
לאחרונה נצפו שחקני איומים יוצרים אלפי אתרי פישינג בנושא מטבעות קריפטוגרפיים המכוונים למשתמשים של שירותי ארנק קריפטו פופולריים כמו Coinbase, Exodus ו- MetaMask.
שחקנים רעים אלה ממנפים פלטפורמות אירוח חינמיות כמו Gitbook ו-Webflow כדי להקים אתרי פיתוי בתתי-דומיינים של ארנק קריפטו. אתרים מטעים אלה מושכים קורבנות עם מידע על ארנקי קריפטו וקישורי הורדה המובילים לכתובות URL הונאה.
כתובות URL אלו מתפקדות כמערכת הפצת תעבורה (TDS), המפנה את המשתמשים לתוכן דיוג או, אם הכלי מזהה את המבקר כחוקר אבטחה, לדפים לא מזיקים.
בנוסף, קמפיינים של פישינג מתחזים גם לישויות ממשלתיות לגיטימיות בהודו ובארה"ב, ומפנים משתמשים לדומיינים מזויפים שנועדו לאסוף מידע רגיש. הנתונים הגנובים האלה יכולים לשמש להונאות עתידיות, הודעות דיוג, הפצת מידע מוטעה או הפצת תוכנות זדוניות.
AI Buzz ניצל גם בקמפיינים מטעים
טקטיקות ההנדסה החברתית ניצלו את הזינוק בבינה מלאכותית (AI) כדי ליצור תחומים מטעים המחקים את OpenAI ChatGPT, ומאפשרים פעילויות שונות לא בטוחות כמו פישינג, תוכנות אפורות, תוכנות כופר ופעולות Command-and-Control (C2).
חלק ניכר מהתחומים הללו מנצלים את הפופולריות של AI גנרטיבי על ידי שילוב מילות מפתח כמו 'GPT' או 'ChatGPT'. יש לציין, יותר משליש מהתנועה לדומיינים הרשומים החדשים הללו הופנתה לאתרים חשודים.
