UULoader ļaunprātīga programmatūra
Kibernoziedznieki izmanto jaunu ļaunprātīgas programmatūras celmu, kas pazīstams kā UULoader, lai piegādātu turpmākas kaitīgas kravas. Saskaņā ar pētniekiem, kuri identificēja šo ļaunprātīgo programmatūru, tā tiek izplatīta ar bojātu instalētāju starpniecību, kas uzdodas par likumīgām lietojumprogrammām, galvenokārt mērķējot uz korejiešu un ķīniešu valodas runātājiem. Rādītāji liecina, ka UULoader, iespējams, ir izstrādājis ķīniešu valodas runātājs, jo ķīniešu virknes ir atrastas programmu datu bāzes (PDB) failos, kas iegulti DLL failā. Šī ļaunprogrammatūra tiek izmantota, lai izvietotu pēckompromisa draudus, piemēram, Gh0st RAT un Mimikatz .
UULoader galvenie komponenti ir iesaiņoti Microsoft Cabinet (.cab) arhīvā, kurā ir divi galvenie izpildāmie faili (.exe un .dll), kuru failu galvenes ir noņemtas.
Satura rādītājs
Draudu dalībnieki izmanto UULoader, lai nodrošinātu papildu ļaunprātīgu programmatūru
Viens no izpildāmajiem failiem ir likumīgs binārs, kas ir neaizsargāts pret DLL sānu ielādi, kas tiek izmantots, lai ielādētu DLL failu. Šis DLL galu galā aktivizē pēdējo posmu: aptumšotu failu ar nosaukumu "XamlHost.sys", kas satur attālās piekļuves rīkus, piemēram, Gh0st RAT vai Mimikatz akreditācijas datu savācēju.
MSI instalēšanas failā ir iekļauts arī Visual Basic Script (.vbs), kas palaiž izpildāmo failu, piemēram, Realtek, un dažos UULoader paraugos tiek palaists mānekļu fails, lai novērstu uzmanību. Šis māneklis parasti atbilst tam, par ko tiek apgalvots .msi fails. Piemēram, ja instalēšanas programma tiek maskēta kā “Chrome atjauninājums”, māneklis būs īsts Chrome atjauninājums.
Šī nav pirmā reize, kad Gh0st RAT izvietošanai tiek izmantoti viltoti Google Chrome instalētāji. Pagājušajā mēnesī eSentire ziņoja par uzbrukumu ķēdi, kas vērsta uz Ķīnas Windows lietotājiem, izmantojot viltotu Google Chrome vietni, lai izplatītu attālās piekļuves Trojas zirgu.
Krāpnieki un kibernoziedznieki pastiprina kriptotēmu lures izmantošanu
Nesen tika novēroti draudu dalībnieki, veidojot tūkstošiem ar kriptovalūtu saistītu pikšķerēšanas vietņu, kuru mērķauditorija ir populāru kriptovalūtu pakalpojumu, piemēram, Coinbase, Exodus un MetaMask, lietotāji.
Šie slikti domājošie dalībnieki izmanto bezmaksas mitināšanas platformas, piemēram, Gitbook un Webflow, lai izveidotu pievilināšanas vietnes kriptogrāfijas maka typosquatter apakšdomēnos. Šīs maldinošās vietnes piesaista upurus ar informāciju par kriptovalūtu makiem un lejupielādes saitēm, kas ved uz krāpnieciskiem URL.
Šie URL darbojas kā trafika sadales sistēma (TDS), novirzot lietotājus uz pikšķerēšanas saturu vai, ja rīks identificē apmeklētāju kā drošības pētnieku, uz nekaitīgām lapām.
Turklāt pikšķerēšanas kampaņas tiek uzskatītas par likumīgām valdības struktūrām Indijā un ASV, novirzot lietotājus uz viltotiem domēniem, kas paredzēti sensitīvas informācijas iegūšanai. Pēc tam šos nozagtos datus var izmantot turpmākai krāpniecībai, pikšķerēšanas e-pastiem, dezinformācijas izplatīšanai vai ļaunprātīgas programmatūras izplatīšanai.
AI Buzz tiek izmantots arī maldinošās kampaņās
Sociālās inženierijas taktika ir izmantojusi ģeneratīvā mākslīgā intelekta (AI) pieaugumu, lai izveidotu maldinošus domēnus, kas imitē OpenAI ChatGPT, atvieglojot dažādas nedrošas darbības, piemēram, pikšķerēšanu, pelēko programmatūru, izpirkuma programmatūru un Command-and-Control (C2) darbības.
Ievērojams skaits šo domēnu izmanto ģeneratīvā AI popularitāti, iekļaujot tādus atslēgvārdus kā “GPT” vai “ChatGPT”. Jāatzīmē, ka vairāk nekā trešdaļa datplūsmas uz šiem jaunreģistrētajiem domēniem ir novirzīta uz aizdomīgām vietnēm.
