Zlonamjerni softver UULoader
Kibernetički kriminalci koriste novu vrstu zlonamjernog softvera poznatu kao UULoader za isporuku naknadnih štetnih sadržaja. Prema istraživačima koji su identificirali ovaj zlonamjerni softver, širi se preko neispravnih instalatera koji se predstavljaju kao legitimne aplikacije, primarno ciljajući na govornike korejskog i kineskog jezika. Indikatori sugeriraju da je UULoader možda razvio kineski govornik, budući da su kineski nizovi pronađeni u datotekama baze podataka programa (PDB) ugrađenim u DLL datoteku. Ovaj zlonamjerni softver koristi se za implementaciju prijetnji nakon kompromitiranja, kao što su Gh0st RAT i Mimikatz .
Osnovne komponente UULoadera pakirane su unutar arhive Microsoft Cabinet (.cab), koja sadrži dvije glavne izvršne datoteke (.exe i .dll) kojima su uklonjena zaglavlja datoteka.
Sadržaj
Akteri prijetnji koriste UULoader za isporuku dodatnog zlonamjernog softvera
Jedna od izvršnih datoteka je legitimna binarna datoteka ranjiva na bočno učitavanje DLL-a, što se iskorištava za učitavanje DLL datoteke. Ovaj DLL u konačnici pokreće zadnju fazu: maskiranu datoteku pod nazivom 'XamlHost.sys' koja sadrži alate za daljinski pristup kao što su Gh0st RAT ili Mimikatz credential harvester.
MSI instalacijska datoteka također uključuje Visual Basic skriptu (.vbs) koja pokreće izvršnu datoteku—kao što je Realtek—a u nekim uzorcima UULoader-a pokreće se datoteka mamac kako bi se skrenula pozornost. Ovaj mamac obično je usklađen s onim što .msi datoteka tvrdi da jest. Na primjer, ako se instalacijski program maskira kao "Chrome ažuriranje", mamac će biti originalno Chrome ažuriranje.
Ovo nije prvi put da su lažni instalacijski programi za Google Chrome korišteni za implementaciju Gh0st RAT-a. Prošlog mjeseca eSentire je izvijestio o lancu napada usmjerenom na kineske Windows korisnike, korištenjem lažne Google Chrome stranice za distribuciju trojanca za daljinski pristup.
Prevaranti i kibernetički kriminalci povećavaju upotrebu mamaca s kripto temom
Akteri prijetnji nedavno su primijećeni kako stvaraju tisuće stranica za krađu identiteta s temom kriptovaluta ciljajući korisnike popularnih usluga kripto-novčanika kao što su Coinbase, Exodus i MetaMask.
Ovi zlonamjerni akteri iskorištavaju besplatne platforme za hosting kao što su Gitbook i Webflow kako bi postavili web stranice za primamljivanje na poddomenama kripto novčanika typosquatter. Ova lažna mjesta privlače žrtve informacijama o kripto novčanicima i vezama za preuzimanje koje vode do lažnih URL-ova.
Ovi URL-ovi funkcioniraju kao sustav distribucije prometa (TDS), preusmjeravajući korisnike ili na phishing sadržaj ili, ako alat identificira posjetitelja kao sigurnosnog istraživača, na bezopasne stranice.
Osim toga, phishing kampanje također se predstavljaju kao legitimni državni subjekti u Indiji i SAD-u, preusmjeravajući korisnike na lažne domene dizajnirane za prikupljanje osjetljivih informacija. Ovi ukradeni podaci zatim se mogu koristiti za buduće prijevare, phishing e-poruke, širenje dezinformacija ili distribuciju zlonamjernog softvera.
AI Buzz također se iskorištava u obmanjujućim kampanjama
Taktike društvenog inženjeringa kapitalizirale su porast generativne umjetne inteligencije (AI) za stvaranje varljivih domena koje oponašaju OpenAI ChatGPT, olakšavajući razne nesigurne aktivnosti kao što su phishing, grayware, ransomware i Command-and-Control (C2) operacije.
Značajan broj ovih domena iskorištava popularnost generativne umjetne inteligencije uključivanjem ključnih riječi poput "GPT" ili "ChatGPT". Naime, više od trećine prometa na ovim novoregistriranim domenama bilo je usmjereno prema sumnjivim stranicama.
