Malware UULoader
I criminali informatici stanno utilizzando un nuovo ceppo di malware noto come UULoader per distribuire payload dannosi successivi. Secondo i ricercatori che hanno identificato questo malware, si diffonde tramite programmi di installazione corrotti che si spacciano per applicazioni legittime, prendendo di mira principalmente i parlanti coreani e cinesi. Gli indicatori suggeriscono che UULoader potrebbe essere stato sviluppato da un parlante cinese, poiché stringhe cinesi sono state trovate nei file del database del programma (PDB) incorporati nel file DLL. Questo malware viene sfruttato per distribuire minacce post-compromissione, come Gh0st RAT e Mimikatz .
I componenti principali di UULoader sono impacchettati in un archivio Microsoft Cabinet (.cab), contenente due file eseguibili principali (un .exe e un .dll) da cui sono state rimosse le intestazioni.
Sommario
Gli attori della minaccia utilizzano UULoader per distribuire malware aggiuntivo
Uno degli eseguibili è un binario legittimo vulnerabile al caricamento laterale di DLL, che viene sfruttato per caricare un file DLL. Questa DLL innesca infine la fase finale: un file offuscato denominato 'XamlHost.sys' che contiene strumenti di accesso remoto come Gh0st RAT o il Mimikatz credential harvester.
Il file di installazione MSI include anche uno script Visual Basic (.vbs) che avvia l'eseguibile, come Realtek, e in alcuni esempi di UULoader viene eseguito un file decoy per distogliere l'attenzione. Questo decoy in genere è in linea con ciò che il file .msi dichiara di essere. Ad esempio, se l'installer si maschera da "aggiornamento di Chrome", il decoy sarà un aggiornamento di Chrome autentico.
Non è la prima volta che falsi installer di Google Chrome vengono utilizzati per distribuire Gh0st RAT. Il mese scorso, eSentire ha segnalato una catena di attacchi che prendeva di mira gli utenti cinesi di Windows, utilizzando un falso sito di Google Chrome per distribuire il trojan di accesso remoto.
I truffatori e i criminali informatici aumentano l'uso di esche a tema criptovaluta
Di recente sono stati osservati autori di minacce mentre creavano migliaia di siti di phishing a tema criptovaluta, prendendo di mira gli utenti di noti servizi di cripto-wallet come Coinbase, Exodus e MetaMask.
Questi attori malintenzionati stanno sfruttando piattaforme di hosting gratuite come Gitbook e Webflow per creare siti esca su sottodomini di crypto wallet typosquatter. Questi siti ingannevoli attraggono le vittime con informazioni su crypto-wallet e link di download che portano a URL fraudolenti.
Questi URL funzionano come un sistema di distribuzione del traffico (TDS), reindirizzando gli utenti a contenuti di phishing oppure, se lo strumento identifica il visitatore come un ricercatore di sicurezza, a pagine innocue.
Inoltre, le campagne di phishing si spacciano anche per entità governative legittime in India e negli Stati Uniti, reindirizzando gli utenti a domini falsi progettati per raccogliere informazioni sensibili. Questi dati rubati possono quindi essere utilizzati per future truffe, e-mail di phishing, diffusione di informazioni errate o distribuzione di malware.
L'intelligenza artificiale sfruttata anche in campagne fuorvianti
Le tattiche di ingegneria sociale hanno sfruttato l'aumento dell'intelligenza artificiale (IA) generativa per creare domini fuorvianti che imitano OpenAI ChatGPT, facilitando varie attività pericolose come phishing, grayware, ransomware e operazioni di comando e controllo (C2).
Un numero significativo di questi domini sfrutta la popolarità dell'intelligenza artificiale generativa incorporando parole chiave come "GPT" o "ChatGPT". In particolare, oltre un terzo del traffico verso questi domini di nuova registrazione è stato indirizzato verso siti sospetti.
