UULoader-malware
Cybercriminelen gebruiken een nieuwe malwaresoort, bekend als UULoader, om schadelijke payloads te leveren. Volgens de onderzoekers die deze malware hebben geïdentificeerd, wordt deze verspreid via corrupte installers die zich voordoen als legitieme applicaties, die zich voornamelijk richten op Koreaanse en Chinese sprekers. Indicatoren suggereren dat UULoader mogelijk is ontwikkeld door een Chinese spreker, aangezien er Chinese strings zijn gevonden in de programmadatabasebestanden (PDB) die zijn ingebed in het DLL-bestand. Deze malware wordt gebruikt om post-compromise bedreigingen te implementeren, zoals de Gh0st RAT en Mimikatz .
De kerncomponenten van UULoader zijn verpakt in een Microsoft Cabinet (.cab)-archief, dat twee belangrijke uitvoerbare bestanden bevat (een .exe en een .dll) waarvan de bestandsheaders zijn verwijderd.
Inhoudsopgave
Dreigingsactoren gebruiken UULoader om extra malware te verspreiden
Een van de uitvoerbare bestanden is een legitiem binair bestand dat kwetsbaar is voor DLL-sideloading, dat wordt misbruikt om een DLL-bestand te laden. Deze DLL activeert uiteindelijk de laatste fase: een verduisterd bestand met de naam 'XamlHost.sys' dat tools voor externe toegang bevat, zoals Gh0st RAT of de Mimikatz credential harvester.
Het MSI-installatiebestand bevat ook een Visual Basic Script (.vbs) dat het uitvoerbare bestand start, zoals Realtek, en in sommige UULoader-voorbeelden wordt een decoy-bestand uitgevoerd om de aandacht af te leiden. Deze decoy komt doorgaans overeen met wat het .msi-bestand beweert te zijn. Als het installatieprogramma zich bijvoorbeeld voordoet als een 'Chrome-update', is de decoy een echte Chrome-update.
Dit is niet de eerste keer dat neppe Google Chrome-installatieprogramma's zijn gebruikt om Gh0st RAT te implementeren. Vorige maand meldde eSentire een aanvalsketen gericht op Chinese Windows-gebruikers, waarbij een nep-Google Chrome-site werd gebruikt om de remote access-trojan te verspreiden.
Fraudeurs en cybercriminelen maken steeds meer gebruik van crypto-thema-lokmiddelen
Er zijn onlangs meldingen geweest van cybercriminelen die duizenden phishingsites opzetten met cryptovaluta als thema. Deze sites zijn gericht op gebruikers van populaire cryptowalletdiensten zoals Coinbase, Exodus en MetaMask.
Deze kwaadwillende actoren maken gebruik van gratis hostingplatforms zoals Gitbook en Webflow om lokaassites op te zetten op crypto wallet typosquatter-subdomeinen. Deze misleidende sites lokken slachtoffers met informatie over crypto-wallets en downloadlinks die leiden naar frauduleuze URL's.
Deze URL's fungeren als een verkeersdistributiesysteem (TDS) en leiden gebruikers door naar phishingcontent of, als de tool de bezoeker identificeert als een beveiligingsonderzoeker, naar onschadelijke pagina's.
Daarnaast doen phishingcampagnes zich ook voor als legitieme overheidsinstanties in India en de VS, waarbij gebruikers worden omgeleid naar nepdomeinen die zijn ontworpen om gevoelige informatie te verzamelen. Deze gestolen gegevens kunnen vervolgens worden gebruikt voor toekomstige oplichting, phishing-e-mails, het verspreiden van misinformatie of malware.
AI Buzz ook uitgebuit in misleidende campagnes
Social engineering-tactieken maken gebruik van de opkomst van generatieve kunstmatige intelligentie (AI) om misleidende domeinen te creëren die OpenAI ChatGPT imiteren en zo allerlei onveilige activiteiten mogelijk maken, zoals phishing, grayware, ransomware en Command-and-Control (C2)-bewerkingen.
Een aanzienlijk aantal van deze domeinen maakt gebruik van de populariteit van generatieve AI door trefwoorden als 'GPT' of 'ChatGPT' op te nemen. Opvallend is dat meer dan een derde van het verkeer naar deze nieuw geregistreerde domeinen naar verdachte sites wordt geleid.
