UULoader skadelig programvare
Nettkriminelle bruker en ny stamme av skadelig programvare kjent som UULoader for å levere påfølgende skadelige nyttelaster. I følge forskerne som identifiserte denne skadelige programvaren, spres den gjennom ødelagte installatører som utgir seg for å være legitime applikasjoner, primært rettet mot koreansk- og kinesisktalende. Indikatorer tyder på at UULoader kan ha blitt utviklet av en kinesisk høyttaler, ettersom kinesiske strenger er funnet i programdatabasefilene (PDB) innebygd i DLL-filen. Denne skadelige programvaren blir utnyttet for å distribuere trusler etter kompromiss, for eksempel Gh0st RAT og Mimikatz .
UULoaders kjernekomponenter er pakket i et Microsoft Cabinet (.cab)-arkiv, som inneholder to hovedkjørbare filer (en .exe og en .dll) som har fått filoverskriftene fjernet.
Innholdsfortegnelse
Trusselaktører bruker UULoader for å levere ytterligere skadelig programvare
En av de kjørbare filene er en legitim binær som er sårbar for DLL-sidelasting, som utnyttes til å laste en DLL-fil. Denne DLL-filen utløser til slutt det siste stadiet: en skjult fil kalt 'XamlHost.sys' som inneholder fjerntilgangsverktøy som Gh0st RAT eller Mimikatz-legitimasjonshøsteren.
MSI-installasjonsfilen inkluderer også et Visual Basic-skript (.vbs) som starter den kjørbare filen – for eksempel Realtek – og i noen UULoader-eksempler kjøres en lokkefil for å avlede oppmerksomheten. Dette lokkemiddelet er vanligvis på linje med det .msi-filen hevder å være. For eksempel, hvis installasjonsprogrammet maskerer seg som en "Chrome-oppdatering", vil lokkemidlet være en ekte Chrome-oppdatering.
Dette er ikke første gang falske Google Chrome-installasjonsprogrammer har blitt brukt til å distribuere Gh0st RAT. Forrige måned rapporterte eSentire en angrepskjede rettet mot kinesiske Windows-brukere, ved å bruke et falskt Google Chrome-nettsted for å distribuere fjerntilgangstrojaneren.
Svindlere og nettkriminelle øker bruken av lokker med kryptotema
Trusselaktører har nylig blitt observert opprette tusenvis av phishing-nettsteder med kryptovaluta-tema rettet mot brukere av populære krypto-lommeboktjenester som Coinbase, Exodus og MetaMask.
Disse dårligsinnede aktørene utnytter gratis vertsplattformer som Gitbook og Webflow for å sette opp lokkesider på kryptolommeboktyposquatter-underdomener. Disse villedende nettstedene tiltrekker seg ofre med informasjon om krypto-lommebøker og nedlastingslenker som fører til uredelige nettadresser.
Disse URL-ene fungerer som et trafikkdistribusjonssystem (TDS), som omdirigerer brukere enten til phishing-innhold eller, hvis verktøyet identifiserer den besøkende som en sikkerhetsforsker, til ufarlige sider.
I tillegg utgir phishing-kampanjer seg som legitime myndighetsenheter i India og USA, og omdirigerer brukere til falske domener designet for å samle inn sensitiv informasjon. Disse stjålne dataene kan deretter brukes til fremtidig svindel, phishing-e-post, spredning av feilinformasjon eller distribusjon av skadelig programvare.
AI Buzz utnyttet også i villedende kampanjer
Sosial ingeniørtaktikk har utnyttet økningen i generativ kunstig intelligens (AI) for å skape villedende domener som imiterer OpenAI ChatGPT, og tilrettelegger for ulike utrygge aktiviteter som phishing, gråvare, løsepengevare og Command-and-Control (C2) operasjoner.
Et betydelig antall av disse domenene utnytter populariteten til generativ kunstig intelligens ved å inkludere søkeord som «GPT» eller «ChatGPT». Spesielt er over en tredjedel av trafikken til disse nylig registrerte domenene rettet mot mistenkelige nettsteder.
