UULoader Malware
Penjenayah siber menggunakan jenis perisian hasad baharu yang dikenali sebagai UULoader untuk menghantar muatan berbahaya yang seterusnya. Menurut penyelidik yang mengenal pasti perisian hasad ini, ia disebarkan melalui pemasang rosak yang menyamar sebagai aplikasi yang sah, terutamanya menyasarkan penutur bahasa Korea dan Cina. Penunjuk mencadangkan bahawa UULoader mungkin telah dibangunkan oleh penutur bahasa Cina, kerana rentetan bahasa Cina telah ditemui dalam fail pangkalan data program (PDB) yang dibenamkan dalam fail DLL. Perisian hasad ini sedang dimanfaatkan untuk menggunakan ancaman pasca kompromi, seperti Gh0st RAT dan Mimikatz .
Komponen teras UULoader dibungkus dalam arkib Microsoft Cabinet (.cab), mengandungi dua boleh laku utama (satu .exe dan .dll) yang telah mengeluarkan pengepala failnya.
Isi kandungan
Ancaman Pelakon Menggunakan UULoader untuk Menyampaikan Perisian Hasad Tambahan
Salah satu daripada executable ialah binari sah yang terdedah kepada pemuatan sisi DLL, yang dieksploitasi untuk memuatkan fail DLL. DLL ini akhirnya mencetuskan peringkat akhir: fail yang dikelirukan bernama 'XamlHost.sys' yang mengandungi alatan capaian jauh seperti Gh0st RAT atau penuai kelayakan Mimikatz.
Fail pemasang MSI juga termasuk Skrip Visual Basic (.vbs) yang melancarkan boleh laku—seperti Realtek—dan dalam beberapa sampel UULoader, fail umpan dijalankan untuk mengalihkan perhatian. Tipu ini biasanya sejajar dengan apa yang didakwa oleh fail .msi. Sebagai contoh, jika pemasang menyamar sebagai 'kemas kini Chrome,' umpan itu akan menjadi kemas kini Chrome yang tulen.
Ini bukan kali pertama pemasang Google Chrome palsu digunakan untuk menggunakan Gh0st RAT. Bulan lalu, eSentire melaporkan rantaian serangan yang menyasarkan pengguna Windows Cina, menggunakan tapak Google Chrome palsu untuk mengedarkan trojan akses jauh.
Penipu dan Penjenayah Siber Meningkatkan Penggunaan Gewang Bertema Kripto
Aktor ancaman baru-baru ini diperhatikan mencipta beribu-ribu tapak pancingan data bertemakan mata wang kripto yang menyasarkan pengguna perkhidmatan dompet kripto yang popular seperti Coinbase, Exodus dan MetaMask.
Pelakon yang kurang ajar ini memanfaatkan platform pengehosan percuma seperti Gitbook dan Webflow untuk menyediakan tapak gewang pada subdomain typosquatter dompet crypto. Laman web yang menipu ini menarik mangsa dengan maklumat tentang dompet kripto dan pautan muat turun yang membawa kepada URL penipuan.
URL ini berfungsi sebagai sistem pengedaran trafik (TDS), mengubah hala pengguna sama ada kepada kandungan pancingan data atau, jika alat itu mengenal pasti pelawat sebagai penyelidik keselamatan, ke halaman yang tidak berbahaya.
Selain itu, kempen pancingan data juga menyamar sebagai entiti kerajaan yang sah di India dan AS, mengubah hala pengguna ke domain palsu yang direka untuk mendapatkan maklumat sensitif. Data yang dicuri ini kemudiannya boleh digunakan untuk penipuan masa hadapan, e-mel pancingan data, menyebarkan maklumat salah atau mengedar perisian hasad.
AI Buzz juga Dieksploitasi dalam Kempen Mengelirukan
Taktik kejuruteraan sosial telah memanfaatkan lonjakan kecerdasan buatan (AI) generatif untuk mencipta domain mengelirukan yang meniru OpenAI ChatGPT, memudahkan pelbagai aktiviti tidak selamat seperti pancingan data, perisian kelabu, perisian tebusan dan operasi Command-and-Control (C2).
Sebilangan besar domain ini mengeksploitasi populariti AI generatif dengan memasukkan kata kunci seperti 'GPT' atau 'ChatGPT.' Terutamanya, lebih satu pertiga daripada trafik ke domain yang baru didaftarkan ini telah diarahkan ke tapak yang mencurigakan.
