UULoader मैलवेयर
साइबर अपराधी UULoader नामक मैलवेयर के एक नए प्रकार का उपयोग करके बाद में हानिकारक पेलोड वितरित कर रहे हैं। इस मैलवेयर की पहचान करने वाले शोधकर्ताओं के अनुसार, यह भ्रष्ट इंस्टॉलर के माध्यम से फैलता है जो वैध अनुप्रयोगों के रूप में प्रस्तुत होते हैं, मुख्य रूप से कोरियाई और चीनी बोलने वालों को लक्षित करते हैं। संकेतक बताते हैं कि UULoader को एक चीनी वक्ता द्वारा विकसित किया गया हो सकता है, क्योंकि DLL फ़ाइल में एम्बेडेड प्रोग्राम डेटाबेस (PDB) फ़ाइलों में चीनी स्ट्रिंग्स पाए गए हैं। इस मैलवेयर का उपयोग Gh0st RAT और Mimikatz जैसे पोस्ट-समझौता खतरों को तैनात करने के लिए किया जा रहा है।
UULoader के मुख्य घटकों को माइक्रोसॉफ्ट कैबिनेट (.cab) संग्रह में पैक किया गया है, जिसमें दो मुख्य निष्पादनयोग्य फ़ाइलें (.exe और .dll) हैं, जिनके फ़ाइल हेडर हटा दिए गए हैं।
विषयसूची
खतरा पैदा करने वाले लोग अतिरिक्त मैलवेयर भेजने के लिए UULoader का उपयोग करते हैं
निष्पादन योग्य में से एक वैध बाइनरी है जो DLL साइड-लोडिंग के लिए असुरक्षित है, जिसका उपयोग DLL फ़ाइल लोड करने के लिए किया जाता है। यह DLL अंततः अंतिम चरण को ट्रिगर करता है: 'XamlHost.sys' नामक एक अस्पष्ट फ़ाइल जिसमें Gh0st RAT या Mimikatz क्रेडेंशियल हार्वेस्टर जैसे रिमोट एक्सेस टूल शामिल हैं।
MSI इंस्टॉलर फ़ाइल में एक Visual Basic स्क्रिप्ट (.vbs) भी शामिल है जो एक्जीक्यूटेबल को लॉन्च करती है - जैसे कि Realtek - और कुछ UULoader नमूनों में, ध्यान भटकाने के लिए एक नकली फ़ाइल चलाई जाती है। यह नकली आम तौर पर .msi फ़ाइल के दावे के अनुरूप होती है। उदाहरण के लिए, यदि इंस्टॉलर 'Chrome अपडेट' के रूप में प्रच्छन्न है, तो नकली एक वास्तविक Chrome अपडेट होगा।
यह पहली बार नहीं है जब Gh0st RAT को तैनात करने के लिए नकली Google Chrome इंस्टॉलर का इस्तेमाल किया गया है। पिछले महीने, eSentire ने चीनी विंडोज उपयोगकर्ताओं को लक्षित करने वाली एक हमले श्रृंखला की सूचना दी थी, जिसमें रिमोट एक्सेस ट्रोजन वितरित करने के लिए एक नकली Google Chrome साइट का उपयोग किया गया था।
धोखेबाज़ और साइबर अपराधी क्रिप्टो-थीम वाले लालच का उपयोग बढ़ा रहे हैं
हाल ही में देखा गया है कि कुछ खतरनाक तत्व कॉइनबेस, एक्सोडस और मेटामास्क जैसी लोकप्रिय क्रिप्टो-वॉलेट सेवाओं के उपयोगकर्ताओं को लक्ष्य बनाकर हजारों क्रिप्टोकरेंसी-थीम वाली फ़िशिंग साइटें बना रहे हैं।
ये दुष्ट मानसिकता वाले लोग क्रिप्टो वॉलेट टाइपोस्क्वैटर सबडोमेन पर लुभाने वाली साइट्स बनाने के लिए गिटबुक और वेबफ्लो जैसे मुफ़्त होस्टिंग प्लेटफ़ॉर्म का लाभ उठा रहे हैं। ये भ्रामक साइटें क्रिप्टो-वॉलेट और डाउनलोड लिंक के बारे में जानकारी देकर पीड़ितों को आकर्षित करती हैं जो धोखाधड़ी वाले यूआरएल पर ले जाती हैं।
ये यूआरएल एक ट्रैफिक वितरण प्रणाली (टीडीएस) के रूप में कार्य करते हैं, जो उपयोगकर्ताओं को या तो फ़िशिंग सामग्री पर पुनर्निर्देशित करते हैं, या यदि उपकरण आगंतुक को सुरक्षा शोधकर्ता के रूप में पहचानता है, तो हानिरहित पृष्ठों पर ले जाते हैं।
इसके अलावा, फ़िशिंग अभियान भारत और अमेरिका में वैध सरकारी संस्थाओं के रूप में भी काम कर रहे हैं, जो उपयोगकर्ताओं को संवेदनशील जानकारी प्राप्त करने के लिए डिज़ाइन किए गए नकली डोमेन पर पुनर्निर्देशित करते हैं। चुराए गए इस डेटा का इस्तेमाल भविष्य में धोखाधड़ी, फ़िशिंग ईमेल, गलत सूचना फैलाने या मैलवेयर वितरित करने के लिए किया जा सकता है।
भ्रामक अभियानों में भी एआई बज़ का फायदा उठाया गया
सोशल इंजीनियरिंग रणनीति ने जनरेटिव आर्टिफिशियल इंटेलिजेंस (एआई) में वृद्धि का लाभ उठाकर भ्रामक डोमेन बनाए हैं जो ओपनएआई चैटजीपीटी की नकल करते हैं, और फ़िशिंग, ग्रेवेयर, रैनसमवेयर और कमांड-एंड-कंट्रोल (सी2) ऑपरेशन जैसी विभिन्न असुरक्षित गतिविधियों को बढ़ावा देते हैं।
इनमें से काफी संख्या में डोमेन 'GPT' या 'ChatGPT' जैसे कीवर्ड को शामिल करके जनरेटिव AI की लोकप्रियता का फायदा उठाते हैं। उल्लेखनीय रूप से, इन नए पंजीकृत डोमेन पर आने वाले एक तिहाई से अधिक ट्रैफ़िक को संदिग्ध साइटों की ओर निर्देशित किया गया है।
