Malware UULoader
Cyberprzestępcy wykorzystują nowy szczep złośliwego oprogramowania znany jako UULoader do dostarczania kolejnych szkodliwych ładunków. Według badaczy, którzy zidentyfikowali to złośliwe oprogramowanie, rozprzestrzenia się ono za pośrednictwem uszkodzonych instalatorów podszywających się pod legalne aplikacje, głównie na osoby mówiące po koreańsku i chińsku. Wskaźniki sugerują, że UULoader mógł zostać opracowany przez osobę mówiącą po chińsku, ponieważ w plikach bazy danych programu (PDB) osadzonych w pliku DLL znaleziono chińskie ciągi znaków. To złośliwe oprogramowanie jest wykorzystywane do wdrażania zagrożeń po naruszeniu, takich jak Gh0st RAT i Mimikatz .
Główne komponenty UULoadera są spakowane w archiwum Microsoft Cabinet (.cab), zawierającym dwa główne pliki wykonywalne (.exe i .dll), z których usunięto nagłówki.
Spis treści
Aktorzy zagrożeń wykorzystują UULoader do dostarczania dodatkowego złośliwego oprogramowania
Jednym z plików wykonywalnych jest legalny plik binarny podatny na boczne ładowanie DLL, co jest wykorzystywane do ładowania pliku DLL. Ten plik DLL ostatecznie uruchamia ostatni etap: zaciemniony plik o nazwie „XamlHost.sys”, który zawiera narzędzia zdalnego dostępu, takie jak Gh0st RAT lub Mimikatz credential harvester.
Plik instalatora MSI zawiera również skrypt Visual Basic (.vbs), który uruchamia plik wykonywalny — taki jak Realtek — a w niektórych przykładach UULoader uruchamiany jest plik-przynęta, aby odwrócić uwagę. Ten przynęta zwykle odpowiada temu, co podaje plik .msi. Na przykład, jeśli instalator podszywa się pod „aktualizację Chrome”, przynęta będzie prawdziwą aktualizacją Chrome.
To nie pierwszy raz, kiedy fałszywe instalatory Google Chrome zostały użyte do wdrożenia Gh0st RAT. W zeszłym miesiącu eSentire poinformował o łańcuchu ataków skierowanych na chińskich użytkowników Windows, wykorzystujących fałszywą witrynę Google Chrome do dystrybucji trojana zdalnego dostępu.
Oszuści i cyberprzestępcy zwiększają wykorzystanie przynęt o tematyce kryptograficznej
Ostatnio zaobserwowano, że atakujący stworzyli tysiące witryn phishingowych poświęconych kryptowalutom, których celem są użytkownicy popularnych usług portfeli kryptowalutowych, takich jak Coinbase, Exodus i MetaMask.
Ci podstępni aktorzy wykorzystują darmowe platformy hostingowe, takie jak Gitbook i Webflow, aby tworzyć witryny wabiące w subdomenach kryptoportfeli typosquatter. Te oszukańcze witryny przyciągają ofiary informacjami o kryptoportfelach i linkami do pobierania, które prowadzą do fałszywych adresów URL.
Te adresy URL działają jak system dystrybucji ruchu (TDS), przekierowując użytkowników do treści phishingowych lub, jeśli narzędzie zidentyfikuje odwiedzającego jako badacza ds. bezpieczeństwa, do nieszkodliwych stron.
Ponadto kampanie phishingowe podszywają się pod legalne podmioty rządowe w Indiach i USA, przekierowując użytkowników do fałszywych domen zaprojektowanych w celu zbierania poufnych informacji. Te skradzione dane mogą być następnie wykorzystywane do przyszłych oszustw, wiadomości phishingowych, rozprzestrzeniania dezinformacji lub dystrybucji złośliwego oprogramowania.
Szum wokół AI wykorzystywany również w kampaniach wprowadzających w błąd
Taktyki socjotechniczne wykorzystują gwałtowny rozwój generatywnej sztucznej inteligencji (AI) do tworzenia wprowadzających w błąd domen imitujących OpenAI ChatGPT, ułatwiając różne niebezpieczne działania, takie jak phishing, grayware, ransomware i operacje typu Command-and-Control (C2).
Znaczna liczba tych domen wykorzystuje popularność generatywnej sztucznej inteligencji (AI) poprzez włączanie słów kluczowych, takich jak „GPT” lub „ChatGPT”. Warto zauważyć, że ponad jedna trzecia ruchu do tych nowo zarejestrowanych domen była kierowana na podejrzane witryny.
