UULoader kenkėjiška programa
Kibernetiniai nusikaltėliai naudoja naują kenkėjiškų programų atmainą, žinomą kaip UULoader, kad pristatytų vėlesnius žalingus krovinius. Pasak mokslininkų, kurie nustatė šią kenkėjišką programą, ji plinta per sugadintus montuotojus, kurie apsimetė teisėtomis programomis, pirmiausia nukreipta į kalbančius korėjiečių ir kinų kalba. Rodikliai rodo, kad UULoader galėjo būti sukurtas kinų kalbos kalbėtojo, nes programos duomenų bazės (PDB) failuose, įterptuose į DLL failą, buvo rastos kinų kalbos eilutės. Ši kenkėjiška programinė įranga naudojama siekiant įdiegti grėsmes po kompromiso, pvz., Gh0st RAT ir Mimikatz .
Pagrindiniai UULoader komponentai yra supakuoti į Microsoft Cabinet (.cab) archyvą, kuriame yra du pagrindiniai vykdomieji failai (.exe ir .dll), kurių failų antraštės buvo pašalintos.
Turinys
Grėsmių veikėjai naudoja UULoader, kad pristatytų papildomą kenkėjišką programą
Vienas iš vykdomųjų failų yra teisėtas dvejetainis failas, pažeidžiamas DLL šoninio įkėlimo, kuris naudojamas DLL failui įkelti. Šis DLL galiausiai suaktyvina paskutinį etapą: užmaskuotą failą pavadinimu „XamlHost.sys“, kuriame yra nuotolinės prieigos įrankiai, tokie kaip Gh0st RAT arba „Mimikatz“ kredencialų rinktuvas.
MSI diegimo faile taip pat yra „Visual Basic Script“ (.vbs), kuris paleidžia vykdomąjį failą, pvz., „Realtek“, o kai kuriuose „UULoader“ pavyzdžiuose paleidžiamas apgaulės failas, siekiant nukreipti dėmesį. Šis apgaulė paprastai sutampa su tuo, ką tvirtina .msi failas. Pavyzdžiui, jei diegimo programa prisistato kaip „Chrome“ naujinys, apgaulė bus tikras „Chrome“ naujinys.
Tai ne pirmas kartas, kai netikros „Google Chrome“ diegimo programos naudojamos diegti „Gh0st RAT“. Praėjusį mėnesį „eSentire“ pranešė apie atakų grandinę, nukreiptą į Kinijos „Windows“ vartotojus, naudojant netikrą „Google Chrome“ svetainę nuotolinės prieigos Trojos arklys platinti.
Sukčiai ir kibernetiniai nusikaltėliai intensyviau naudoja kriptovaliutų temas
Pastaruoju metu buvo pastebėta, kad grėsmės veikėjai kuria tūkstančius kriptovaliutų tematikos sukčiavimo svetainių, skirtų populiarių kriptovaliutų paslaugų, tokių kaip „Coinbase“, „Exodus“ ir „MetaMask“, naudotojams.
Šie netinkamai mąstantys veikėjai naudoja nemokamas prieglobos platformas, tokias kaip „Gitbook“ ir „Webflow“, kad sukurtų priviliojimo svetaines kriptovaliutų piniginės typosquatter subdomenuose. Šios apgaulingos svetainės pritraukia aukas su informacija apie kriptovaliutų pinigines ir atsisiuntimo nuorodas, vedančias į apgaulingus URL.
Šie URL veikia kaip srauto paskirstymo sistema (TDS), nukreipianti vartotojus į sukčiavimo turinį arba, jei įrankis identifikuoja lankytoją kaip saugumo tyrinėtoją, į nekenksmingus puslapius.
Be to, sukčiavimo kampanijos taip pat apsimeta teisėtais Indijos ir JAV vyriausybės subjektais, nukreipiančiomis vartotojus į netikrus domenus, skirtus neskelbtinai informacijai rinkti. Šie pavogti duomenys gali būti panaudoti būsimiems sukčiavimo, sukčiavimo el. laiškams, dezinformacijos sklaidai ar kenkėjiškų programų platinimui.
AI Buzz taip pat naudojamas klaidinančiose kampanijose
Socialinės inžinerijos taktika pasinaudojo generatyvaus dirbtinio intelekto (AI) antplūdžiu, kad būtų sukurti klaidinantys domenai, imituojantys OpenAI ChatGPT, palengvinantys įvairią nesaugią veiklą, pvz., sukčiavimą, pilkąją programinę įrangą, išpirkos reikalaujančią programinę įrangą ir komandų ir valdymo (C2) operacijas.
Nemažai šių domenų išnaudoja generatyvaus AI populiarumą įtraukdami tokius raktinius žodžius kaip „GPT“ arba „ChatGPT“. Pažymėtina, kad daugiau nei trečdalis srauto į šiuos naujai registruotus domenus buvo nukreipta į įtartinas svetaines.
