ਯੂਯੂਲੋਡਰ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਅਪਰਾਧੀ ਅਗਲੇ ਨੁਕਸਾਨਦੇਹ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਨਵੇਂ ਤਣਾਅ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ ਜਿਸਨੂੰ UULoader ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ ਜਿਨ੍ਹਾਂ ਨੇ ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਇਹ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭ੍ਰਿਸ਼ਟ ਇੰਸਟਾਲਰ ਦੁਆਰਾ ਫੈਲਦਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਕੋਰੀਆਈ ਅਤੇ ਚੀਨੀ ਬੋਲਣ ਵਾਲਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਸੰਕੇਤਕ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ UULoader ਨੂੰ ਇੱਕ ਚੀਨੀ ਸਪੀਕਰ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੋ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਚੀਨੀ ਸਤਰ DLL ਫਾਈਲ ਵਿੱਚ ਸ਼ਾਮਲ ਪ੍ਰੋਗਰਾਮ ਡੇਟਾਬੇਸ (PDB) ਫਾਈਲਾਂ ਵਿੱਚ ਮਿਲੀਆਂ ਹਨ। ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਲਾਭ ਸਮਝੌਤਾ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਧਮਕੀਆਂ, ਜਿਵੇਂ ਕਿ Gh0st RAT ਅਤੇ Mimikatz ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਲਿਆ ਜਾ ਰਿਹਾ ਹੈ।
UULoader ਦੇ ਕੋਰ ਕੰਪੋਨੈਂਟਸ ਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਕੈਬਿਨੇਟ (.cab) ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ ਪੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਦੋ ਮੁੱਖ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (ਇੱਕ .exe ਅਤੇ ਇੱਕ .dll) ਹੁੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਦੇ ਫਾਈਲ ਹੈਡਰ ਹਟਾ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਧਮਕੀ ਐਕਟਰ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ UULoader ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ
ਐਗਜ਼ੀਕਿਊਟੇਬਲਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇੱਕ ਜਾਇਜ਼ ਬਾਈਨਰੀ ਹੈ ਜੋ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਲਈ ਕਮਜ਼ੋਰ ਹੈ, ਜਿਸਦਾ ਇੱਕ DLL ਫਾਈਲ ਲੋਡ ਕਰਨ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ DLL ਆਖਰਕਾਰ ਅੰਤਮ ਪੜਾਅ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ: 'XamlHost.sys' ਨਾਮ ਦੀ ਇੱਕ ਗੁੰਝਲਦਾਰ ਫਾਈਲ ਜਿਸ ਵਿੱਚ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜਿਵੇਂ ਕਿ Gh0st RAT ਜਾਂ Mimikatz ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਰ।
MSI ਇੰਸਟੌਲਰ ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ (.vbs) ਵੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜੋ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਲਾਂਚ ਕਰਦੀ ਹੈ — ਜਿਵੇਂ ਕਿ Realtek — ਅਤੇ ਕੁਝ UULoader ਨਮੂਨਿਆਂ ਵਿੱਚ, ਧਿਆਨ ਹਟਾਉਣ ਲਈ ਇੱਕ ਡੀਕੋਏ ਫਾਈਲ ਚਲਾਈ ਜਾਂਦੀ ਹੈ। ਇਹ ਡੀਕੋਏ ਆਮ ਤੌਰ 'ਤੇ ਉਸ ਨਾਲ ਇਕਸਾਰ ਹੁੰਦਾ ਹੈ ਜੋ .msi ਫਾਈਲ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦੀ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਜੇਕਰ ਇੰਸਟੌਲਰ ਇੱਕ 'Chrome ਅੱਪਡੇਟ' ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕੇਰੇਡ ਕਰਦਾ ਹੈ, ਤਾਂ decoy ਇੱਕ ਅਸਲੀ Chrome ਅੱਪਡੇਟ ਹੋਵੇਗਾ।
ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ Gh0st RAT ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਨਕਲੀ Google Chrome ਸਥਾਪਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਪਿਛਲੇ ਮਹੀਨੇ, eSentire ਨੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ ਵੰਡਣ ਲਈ ਇੱਕ ਨਕਲੀ ਗੂਗਲ ਕਰੋਮ ਸਾਈਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਚੀਨੀ ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਅਟੈਕ ਚੇਨ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ।
ਧੋਖੇਬਾਜ਼ ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਕ੍ਰਿਪਟੋ-ਥੀਮਡ ਲੁਰਸ ਦੀ ਵਰਤੋਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ Coinbase, Exodus, ਅਤੇ MetaMask ਵਰਗੀਆਂ ਪ੍ਰਸਿੱਧ ਕ੍ਰਿਪਟੋ-ਵਾਲਿਟ ਸੇਵਾਵਾਂ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਹਜ਼ਾਰਾਂ ਕ੍ਰਿਪਟੋਕਰੰਸੀ-ਥੀਮ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਸਾਈਟਾਂ ਬਣਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ।
ਇਹ ਮਾੜੀ ਸੋਚ ਵਾਲੇ ਅਦਾਕਾਰ ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ ਟਾਈਪੋਸਕੁਆਟਰ ਸਬਡੋਮੇਨਾਂ 'ਤੇ ਲੁਭਾਉਣ ਵਾਲੀਆਂ ਸਾਈਟਾਂ ਸਥਾਪਤ ਕਰਨ ਲਈ ਮੁਫਤ ਹੋਸਟਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਜਿਵੇਂ ਕਿ ਗਿੱਟਬੁੱਕ ਅਤੇ ਵੈਬਫਲੋ ਦਾ ਲਾਭ ਲੈ ਰਹੇ ਹਨ। ਇਹ ਧੋਖੇਬਾਜ਼ ਸਾਈਟਾਂ ਕ੍ਰਿਪਟੋ-ਵਾਲਿਟ ਅਤੇ ਡਾਊਨਲੋਡ ਲਿੰਕਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਪੀੜਤਾਂ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕਰਦੀਆਂ ਹਨ ਜੋ ਧੋਖਾਧੜੀ ਵਾਲੇ URL ਵੱਲ ਲੈ ਜਾਂਦੇ ਹਨ।
ਇਹ URL ਇੱਕ ਟ੍ਰੈਫਿਕ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਸਿਸਟਮ (TDS) ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਜਾਂ ਤਾਂ ਫਿਸ਼ਿੰਗ ਸਮੱਗਰੀ ਵੱਲ ਭੇਜਦੇ ਹਨ ਜਾਂ, ਜੇਕਰ ਟੂਲ ਵਿਜ਼ਟਰ ਨੂੰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਵਜੋਂ ਪਛਾਣਦਾ ਹੈ, ਤਾਂ ਨੁਕਸਾਨ ਰਹਿਤ ਪੰਨਿਆਂ 'ਤੇ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਵੀ ਭਾਰਤ ਅਤੇ ਅਮਰੀਕਾ ਵਿੱਚ ਜਾਇਜ਼ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰ ਰਹੀਆਂ ਹਨ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਕਟਾਈ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਜਾਅਲੀ ਡੋਮੇਨਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰ ਰਹੀਆਂ ਹਨ। ਇਸ ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਭਵਿੱਖ ਦੇ ਘੁਟਾਲਿਆਂ, ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ, ਗਲਤ ਜਾਣਕਾਰੀ ਫੈਲਾਉਣ ਜਾਂ ਮਾਲਵੇਅਰ ਵੰਡਣ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
AI Buzz ਦਾ ਵੀ ਗੁੰਮਰਾਹਕੁੰਨ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ
ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਨੇ ਗੁੰਮਰਾਹਕੁੰਨ ਡੋਮੇਨ ਬਣਾਉਣ ਲਈ ਜਨਰੇਟਿਵ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ (AI) ਦੇ ਵਾਧੇ ਨੂੰ ਪੂੰਜੀਗਤ ਕੀਤਾ ਹੈ ਜੋ OpenAI ChatGPT ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ, ਵੱਖ-ਵੱਖ ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ਫਿਸ਼ਿੰਗ, ਗ੍ਰੇਵੇਅਰ, ਰੈਨਸਮਵੇਅਰ, ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ।
ਇਹਨਾਂ ਡੋਮੇਨਾਂ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੰਖਿਆ 'GPT' ਜਾਂ 'ChatGPT' ਵਰਗੇ ਕੀਵਰਡਸ ਨੂੰ ਸ਼ਾਮਲ ਕਰਕੇ ਜਨਰੇਟਿਵ AI ਦੀ ਪ੍ਰਸਿੱਧੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਨਵੇਂ ਰਜਿਸਟਰਡ ਡੋਮੇਨਾਂ ਲਈ ਟ੍ਰੈਫਿਕ ਦੇ ਇੱਕ ਤਿਹਾਈ ਤੋਂ ਵੱਧ ਨੂੰ ਸ਼ੱਕੀ ਸਾਈਟਾਂ ਵੱਲ ਭੇਜਿਆ ਗਿਆ ਹੈ।
