UULader rosszindulatú program
A kiberbűnözők az UULoader néven ismert rosszindulatú programok új törzsét használják a későbbi káros rakományok szállítására. A kártevőt azonosító kutatók szerint sérült telepítőkön keresztül terjed, akik legitim alkalmazásnak adják ki magukat, elsősorban a koreai és kínai beszélőket célozva meg. A mutatók arra utalnak, hogy az UULoader-t kínai beszélő fejlesztette ki, mivel kínai karakterláncokat találtak a DLL fájlba ágyazott programadatbázis (PDB) fájlokban. Ezt a rosszindulatú programot a kompromittálódás utáni fenyegetések, például a Gh0st RAT és a Mimikatz telepítésére használják fel.
Az UULoader alapvető összetevői egy Microsoft Cabinet (.cab) archívumban vannak csomagolva, két fő végrehajtható fájlt (egy .exe-t és egy .dll-t) tartalmazó fájlfejléceket eltávolítva.
Tartalomjegyzék
A fenyegető szereplők az UULoadert használják további rosszindulatú programok szállítására
Az egyik végrehajtható fájl egy legitim bináris fájl, amely sebezhető a DLL oldalsó betöltésével szemben, amelyet a DLL fájl betöltésére használnak ki. Ez a DLL végül elindítja az utolsó szakaszt: egy „XamlHost.sys” nevű obfuszkált fájlt, amely olyan távoli elérési eszközöket tartalmaz, mint a Gh0st RAT vagy a Mimikatz hitelesítő adatgyűjtő.
Az MSI telepítőfájl egy Visual Basic Scriptet (.vbs) is tartalmaz, amely elindítja a végrehajtható fájlt – például a Realtek-et –, és egyes UULoader-mintákban egy csalifájl fut, hogy elterelje a figyelmet. Ez a csali általában megegyezik azzal, amit az .msi fájl állít. Ha például a telepítő „Chrome-frissítésnek” álcázza magát, a csali valódi Chrome-frissítés lesz.
Nem ez az első alkalom, hogy hamis Google Chrome-telepítőket használnak a Gh0st RAT telepítéséhez. A múlt hónapban az eSentire egy kínai Windows-felhasználókat célzó támadási láncról számolt be, amely egy hamis Google Chrome webhelyet használt a távoli hozzáférésű trójai terjesztésére.
A csalók és kiberbűnözők felpörgetik a kriptotémájú csalik használatát
A közelmúltban a fenyegetés szereplőit figyelték meg, amint több ezer kriptovaluta témájú adathalász oldalt hoztak létre, amelyek olyan népszerű kriptopénztárca-szolgáltatások felhasználóit célozták meg, mint a Coinbase, az Exodus és a MetaMask.
Ezek a rosszindulatú szereplők olyan ingyenes tárhely-platformokat használnak fel, mint a Gitbook és a Webflow, hogy csalogató webhelyeket hozzanak létre a kriptotárca typosquatter aldomainjein. Ezek a megtévesztő webhelyek kriptopénztárcákról szóló információkkal és letöltési linkekkel vonzzák az áldozatokat, amelyek csalárd URL-ekhez vezetnek.
Ezek az URL-ek forgalomelosztó rendszerként (TDS) működnek, és átirányítják a felhasználókat az adathalász tartalomra, vagy ha az eszköz biztonsági kutatóként azonosítja a látogatót, ártalmatlan oldalakra.
Ezen túlmenően az adathalász kampányok Indiában és az Egyesült Államokban legitim kormányzati szerveknek adják ki magukat, és a felhasználókat érzékeny információk begyűjtésére szolgáló hamis domainekre irányítják át. Ezeket az ellopott adatokat később csaláshoz, adathalász e-mailekhez, téves információk terjesztéséhez vagy rosszindulatú programok terjesztéséhez használhatják fel.
Az AI Buzzt félrevezető kampányokban is kihasználják
A szociális tervezési taktikák kihasználták a generatív mesterséges intelligencia (AI) terjedését, hogy félrevezető tartományokat hozzanak létre, amelyek az OpenAI ChatGPT-t utánozzák, megkönnyítve a különféle nem biztonságos tevékenységeket, például az adathalászatot, a szürkeprogramokat, a zsarolóprogramokat és a Command-and-Control (C2) műveleteket.
Ezen domainek jelentős része kihasználja a generatív mesterséges intelligencia népszerűségét olyan kulcsszavak beépítésével, mint a „GPT” vagy a „ChatGPT”. Figyelemre méltó, hogy az újonnan regisztrált domainek forgalmának több mint egyharmada gyanús webhelyekre irányul.
