UULoader 맬웨어

사이버 범죄자들은 UULoader라는 새로운 종류의 맬웨어를 사용하여 후속 유해한 페이로드를 전달하고 있습니다. 이 맬웨어를 식별한 연구원에 따르면, 이 맬웨어는 합법적인 애플리케이션으로 가장한 손상된 설치 프로그램을 통해 확산되며, 주로 한국어와 중국어 사용자를 대상으로 합니다. DLL 파일에 포함된 프로그램 데이터베이스(PDB) 파일에서 중국어 문자열이 발견되었기 때문에 UULoader가 중국어 사용자가 개발한 것으로 추정됩니다. 이 맬웨어는 Gh0st RAT 및 Mimikatz 와 같은 침해 후 위협을 배포하는 데 활용되고 있습니다.

UULoader의 핵심 구성 요소는 Microsoft Cabinet(.cab) 아카이브에 패키징되어 있으며, 여기에는 파일 헤더가 제거된 두 개의 주요 실행 파일(.exe 및 .dll)이 포함되어 있습니다.

위협 행위자는 UULoader를 사용하여 추가 맬웨어를 전달합니다.

실행 파일 중 하나는 DLL 사이드 로딩에 취약한 합법적인 바이너리로, DLL 파일을 로드하는 데 악용됩니다. 이 DLL은 궁극적으로 마지막 단계를 트리거합니다. Gh0st RAT 또는 Mimikatz 자격 증명 수집기와 같은 원격 액세스 도구가 포함된 'XamlHost.sys'라는 난독화된 파일입니다.

MSI 설치 관리자 파일에는 Realtek과 같은 실행 파일을 시작하는 Visual Basic 스크립트(.vbs)도 포함되어 있으며, 일부 UULoader 샘플에서는 주의를 돌리기 위해 미끼 파일이 실행됩니다. 이 미끼는 일반적으로 .msi 파일이 주장하는 것과 일치합니다. 예를 들어, 설치 관리자가 'Chrome 업데이트'로 위장하는 경우 미끼는 진짜 Chrome 업데이트가 됩니다.

가짜 Google Chrome 설치 프로그램이 Gh0st RAT를 배포하는 데 사용된 것은 이번이 처음이 아닙니다. 지난달 eSentire는 중국 Windows 사용자를 대상으로 하는 공격 체인을 보고했는데, 가짜 Google Chrome 사이트를 사용하여 원격 액세스 트로이 목마를 배포했습니다.

사기꾼과 사이버 범죄자들이 암호화된 주제의 미끼 사용을 늘린다

최근 위협 행위자들이 Coinbase, Exodus, MetaMask와 같은 인기 있는 암호화폐 지갑 서비스 사용자를 표적으로 삼아 수천 개의 암호화폐를 주제로 한 피싱 사이트를 만드는 것이 관찰되었습니다.

이런 악의적인 행위자들은 Gitbook과 Webflow와 같은 무료 호스팅 플랫폼을 활용하여 암호화폐 지갑 타이포스쿼터 하위 도메인에 미끼 사이트를 설치하고 있습니다. 이런 사기성 사이트는 암호화폐 지갑에 대한 정보와 사기성 URL로 이어지는 다운로드 링크로 피해자를 유인합니다.

이러한 URL은 트래픽 분산 시스템(TDS) 역할을 하며 사용자를 피싱 콘텐츠로 리디렉션하거나, 도구가 방문자를 보안 연구원으로 식별하는 경우에는 무해한 페이지로 리디렉션합니다.

또한 피싱 캠페인은 인도와 미국에서 합법적인 정부 기관인 것처럼 가장하여 사용자를 민감한 정보를 수집하도록 설계된 가짜 도메인으로 리디렉션합니다. 이렇게 도난당한 데이터는 이후 사기, 피싱 이메일, 잘못된 정보 유포 또는 맬웨어 배포에 사용될 수 있습니다.

AI Buzz도 오해의 소지가 있는 캠페인에 활용

사회 공학 전술은 생성적 인공지능(AI)의 급증을 이용하여 OpenAI ChatGPT를 모방하는 오해의 소지가 있는 도메인을 만들어 피싱, 그레이웨어, 랜섬웨어, 명령 및 제어(C2) 작업과 같은 다양하고 안전하지 않은 활동을 용이하게 했습니다.

이러한 도메인 중 상당수는 'GPT' 또는 'ChatGPT'와 같은 키워드를 통합하여 생성 AI의 인기를 이용합니다. 주목할 점은 이러한 새로 등록된 도메인으로의 트래픽의 3분의 1 이상이 의심스러운 사이트로 향했다는 것입니다.