UULoader Malware
Os cibercriminosos estão usando uma nova cepa de malware conhecida como UULoader para entregar payloads prejudiciais subsequentes. De acordo com os pesquisadores que identificaram esse malware, ele é espalhado por instaladores corrompidos se passando por aplicativos legítimos, visando principalmente falantes de coreano e chinês. Os indicadores sugerem que o UULoader pode ter sido desenvolvido por um falante de chinês, pois sequências de caracteres chinesas foram encontradas nos arquivos do banco de dados do programa (PDB) incorporados ao arquivo DLL. Esse malware está sendo aproveitado para implantar ameaças pós-comprometimento, como o Gh0st RAT e o Mimikatz.
Os principais componentes do UULoader são empacotados em um arquivo Microsoft Cabinet (.cab), contendo dois executáveis principais (um .exe e um .dll) cujos cabeçalhos de arquivo foram removidos.
Índice
Os Autores de Ameaças Utilizam o UULoader para Distribuir Outros Malwares
Um dos executáveis é um binário legítimo vulnerável ao side-loading de DLL, que é explorado para carregar um arquivo DLL. Essa DLL, por fim, aciona o estágio final: um arquivo ofuscado chamado 'XamlHost.sys' que contém ferramentas de acesso remoto como Gh0st RAT ou o coletor de credenciais Mimikatz.
O arquivo do instalador MSI também inclui um Visual Basic Script (.vbs) que inicia o executável — como o Realtek — e em alguns exemplos do UULoader, um arquivo decoy é executado para desviar a atenção. Esse decoy normalmente se alinha com o que o arquivo .msi alega ser. Por exemplo, se o instalador se disfarçar como uma 'atualização do Chrome', o decoy será uma atualização genuína do Chrome.
Esta não é a primeira vez que instaladores falsos do Google Chrome foram usados para implantar o Gh0st RAT. No mês passado, a eSentire relatou uma cadeia de ataques visando usuários chineses do Windows, usando um site falso do Google Chrome para distribuir o trojan de acesso remoto.
Os Fraudadores e os Cibercriminosos Aumentam o Uso de Iscas com Temas de Cripto-Moedas
Recentemente, agentes de ameaças foram observados criando milhares de sites de phishing com temas de cripto-moedas visando usuários de serviços populares de carteira de criptomoedas, como Coinbase, Exodus e MetaMask.
Esses atores mal-intencionados estão alavancando plataformas de hospedagem gratuitas como Gitbook e Webflow para configurar sites de isca em subdomínios de typosquatter de carteiras de crip-moedas. Esses sites enganosos atraem vítimas com informações sobre carteiras de cripto-moedas e links de download que levam a URLs fraudulentas.
Essas URLs funcionam como um sistema de distribuição de tráfego (TDS), redirecionando os usuários para conteúdo de phishing ou, se a ferramenta identificar o visitante como um pesquisador de segurança, para páginas inofensivas.
Além disso, campanhas de phishing também estão se passando por entidades governamentais legítimas na Índia e nos EUA, redirecionando usuários para domínios falsos projetados para coletar informações confidenciais. Esses dados roubados podem ser usados para golpes futuros, e-mails de phishing, disseminação de informações falsas ou distribuição de malware.
O AI Buzz também é Explorado em Campanhas Enganosas
Táticas de engenharia social capitalizaram o aumento da inteligência artificial generativa (IA) para criar domínios enganosos que imitam o OpenAI ChatGPT, facilitando várias atividades inseguras, como phishing, grayware, ransomware e operações de Comando e Controle (C2).
Um número significativo desses domínios explora a popularidade da IA generativa incorporando palavras-chave como "GPT" ou "ChatGPT". Notavelmente, mais de um terço do tráfego para esses domínios recém-registrados foi direcionado para sites suspeitos.
