UUloader मालवेयर
साइबर अपराधीहरूले पछिल्लो हानिकारक पेलोडहरू डेलिभर गर्न UULoader भनेर चिनिने मालवेयरको नयाँ स्ट्रेन प्रयोग गर्दैछन्। यो मालवेयर पहिचान गर्ने अन्वेषकहरूका अनुसार, यो मुख्य रूपमा कोरियाली र चिनियाँ स्पिकरहरूलाई लक्षित गर्दै, वैध अनुप्रयोगहरूको रूपमा प्रस्तुत भ्रष्ट स्थापनाकर्ताहरू मार्फत फैलिएको छ। सूचकहरूले सुझाव दिन्छ कि UULoader चिनियाँ स्पिकरद्वारा विकसित गरिएको हुन सक्छ, किनकि चिनियाँ स्ट्रिङहरू DLL फाइल भित्र इम्बेड गरिएका प्रोग्राम डाटाबेस (PDB) फाइलहरूमा फेला परेका छन्। यो मालवेयरलाई Gh0st RAT र Mimikatz जस्ता पोस्ट-सम्झौता खतराहरू प्रयोग गर्न प्रयोग गरिन्छ।
UULoader को कोर कम्पोनेन्टहरू माइक्रोसफ्ट क्याबिनेट (.cab) अभिलेख भित्र प्याकेज गरिएका छन्, जसमा दुईवटा मुख्य कार्यान्वयनयोग्य (एक .exe र .dll) समावेश छन् जसको फाइल हेडरहरू हटाइएका छन्।
सामग्रीको तालिका
थ्रेट अभिनेताहरूले अतिरिक्त मालवेयर डेलिभर गर्न UULoader प्रयोग गर्छन्
कार्यान्वयन योग्यहरू मध्ये एक वैध बाइनरी DLL साइड-लोडिङको लागि कमजोर छ, जुन DLL फाइल लोड गर्न शोषण गरिन्छ। यो DLL ले अन्ततः अन्तिम चरणलाई ट्रिगर गर्दछ: 'XamlHost.sys' नामक अस्पष्ट फाइल जसमा Gh0st RAT वा Mimikatz क्रेडेन्सियल हार्वेस्टर जस्ता रिमोट एक्सेस उपकरणहरू समावेश छन्।
MSI स्थापनाकर्ता फाइलले Visual Basic Script (.vbs) लाई पनि समावेश गर्दछ जसले कार्यान्वयनयोग्य - जस्तै Realtek - र केहि UULoader नमूनाहरूमा, ध्यान हटाउनको लागि decoy फाइल चलाइन्छ। यो डिकोय सामान्यतया .msi फाइलले दावी गरेको कुरासँग पङ्क्तिबद्ध हुन्छ। उदाहरणका लागि, यदि स्थापनाकर्ताले 'क्रोम अपडेट' को रूपमा मास्करेड गर्छ भने, डिकोय वास्तविक क्रोम अपडेट हुनेछ।
Gh0st RAT प्रयोग गर्न नक्कली गुगल क्रोम स्थापनाकर्ताहरू प्रयोग गरिएको यो पहिलो पटक होइन। गत महिना, eSentire ले रिमोट पहुँच ट्रोजन वितरण गर्न नकली गुगल क्रोम साइट प्रयोग गरेर चिनियाँ विन्डोज प्रयोगकर्ताहरूलाई लक्षित गर्दै आक्रमण श्रृंखला रिपोर्ट गर्यो।
धोखाधडी र साइबर अपराधीहरूले क्रिप्टो-थीम्ड लुरेसको प्रयोगलाई बढाउँछन्
Coinbase, Exodus, र MetaMask जस्ता लोकप्रिय क्रिप्टो-वालेट सेवाहरूका प्रयोगकर्ताहरूलाई लक्षित गरी हजारौं क्रिप्टोकरेन्सी-थीम्ड फिसिङ साइटहरू सिर्जना गर्ने डरलाग्दो अभिनेताहरू हालसालै देखिएका छन्।
यी खराब दिमाग भएका कलाकारहरूले क्रिप्टो वालेट टाइपोस्क्वाटर सबडोमेनहरूमा लुच साइटहरू सेटअप गर्न Gitbook र Webflow जस्ता निःशुल्क होस्टिङ प्लेटफर्महरू प्रयोग गर्दैछन्। यी भ्रामक साइटहरूले क्रिप्टो-वालेटहरू र जालसाजी URL हरू निम्त्याउने लिंकहरू डाउनलोड गर्ने बारे जानकारीको साथ पीडितहरूलाई आकर्षित गर्छन्।
यी URL ले ट्राफिक वितरण प्रणाली (TDS) को रूपमा कार्य गर्दछ, प्रयोगकर्ताहरूलाई या त फिसिङ सामग्रीमा वा, यदि उपकरणले आगन्तुकलाई सुरक्षा अनुसन्धानकर्ताको रूपमा पहिचान गर्छ भने, हानिकारक पृष्ठहरूमा पुन: निर्देशित गर्दछ।
थप रूपमा, फिसिङ अभियानहरू पनि भारत र अमेरिकामा वैध सरकारी संस्थाहरूको रूपमा प्रस्तुत गर्दैछन्, प्रयोगकर्ताहरूलाई संवेदनशील जानकारी फसल गर्न डिजाइन गरिएको नक्कली डोमेनहरूमा रिडिरेक्ट गर्दै। यो चोरी डाटा भविष्यमा घोटालाहरू, फिसिङ इमेलहरू, गलत जानकारी फैलाउन वा मालवेयर वितरण गर्न प्रयोग गर्न सकिन्छ।
एआई बज पनि भ्रामक अभियानहरूमा शोषण गरियो
सामाजिक ईन्जिनियरिङ् रणनीतिहरूले ओपनएआई ChatGPT को नक्कल गर्ने भ्रामक डोमेनहरू सिर्जना गर्न जेनेरेटिभ आर्टिफिसियल इन्टेलिजेन्स (एआई) मा वृद्धिलाई पूंजीकृत गरेको छ, विभिन्न असुरक्षित गतिविधिहरू जस्तै फिसिङ, ग्रेवेयर, ransomware, र कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चालनहरू।
यी डोमेनहरूको ठूलो संख्याले 'GPT' वा 'ChatGPT' जस्ता किवर्डहरू समावेश गरेर जेनेरेटिभ AI को लोकप्रियताको शोषण गर्दछ। उल्लेखनीय रूपमा, यी नयाँ दर्ता गरिएका डोमेनहरूमा ट्राफिकको एक तिहाइ भन्दा बढी संदिग्ध साइटहरूमा निर्देशित गरिएको छ।
