Вредоносное ПО UULoader
Киберпреступники используют новый штамм вредоносного ПО, известный как UULoader, для доставки последующих вредоносных полезных нагрузок. По словам исследователей, которые идентифицировали это вредоносное ПО, оно распространяется через поврежденные установщики, выдающие себя за легитимные приложения, в первую очередь нацеленные на носителей корейского и китайского языков. Индикаторы указывают на то, что UULoader мог быть разработан носителем китайского языка, поскольку в файлах базы данных программы (PDB), встроенных в файл DLL, были обнаружены китайские строки. Это вредоносное ПО используется для развертывания угроз после взлома, таких как Gh0st RAT и Mimikatz .
Основные компоненты UULoader упакованы в архив Microsoft Cabinet (.cab), содержащий два основных исполняемых файла (.exe и .dll), у которых удалены заголовки файлов.
Оглавление
Злоумышленники используют UULoader для доставки дополнительных вредоносных программ
Один из исполняемых файлов — это легитимный двоичный файл, уязвимый для боковой загрузки DLL, который используется для загрузки файла DLL. Этот DLL в конечном итоге запускает финальную стадию: запутанный файл с именем 'XamlHost.sys', содержащий инструменты удаленного доступа, такие как Gh0st RAT или сборщик учетных данных Mimikatz.
Файл установщика MSI также включает в себя Visual Basic Script (.vbs), который запускает исполняемый файл, например Realtek, а в некоторых образцах UULoader запускается файл-обманка для отвлечения внимания. Эта приманка обычно соответствует тому, что выдает себя за файл .msi. Например, если установщик маскируется под «обновление Chrome», то приманкой будет подлинное обновление Chrome.
Это не первый случай использования поддельных установщиков Google Chrome для развертывания Gh0st RAT. В прошлом месяце eSentire сообщил о цепочке атак, нацеленных на китайских пользователей Windows, с использованием поддельного сайта Google Chrome для распространения трояна удаленного доступа.
Мошенники и киберпреступники активизируют использование приманок на криптотематику
Недавно было замечено, что злоумышленники создают тысячи фишинговых сайтов на тему криптовалют, нацеленных на пользователей популярных сервисов криптокошельков, таких как Coinbase, Exodus и MetaMask.
Эти злонамеренные субъекты используют бесплатные хостинговые платформы, такие как Gitbook и Webflow, для создания сайтов-приманок на поддоменах криптокошельков typosquatter. Эти обманные сайты привлекают жертв информацией о криптокошельках и ссылками для скачивания, которые ведут на мошеннические URL-адреса.
Эти URL-адреса функционируют как система распределения трафика (TDS), перенаправляя пользователей либо на фишинговый контент, либо, если инструмент идентифицирует посетителя как исследователя безопасности, на безвредные страницы.
Кроме того, фишинговые кампании также выдают себя за законные государственные учреждения в Индии и США, перенаправляя пользователей на поддельные домены, предназначенные для сбора конфиденциальной информации. Эти украденные данные затем могут быть использованы для будущих мошенничеств, фишинговых писем, распространения дезинформации или вредоносного ПО.
AI Buzz также используется в вводящих в заблуждение кампаниях
Тактики социальной инженерии воспользовались всплеском развития генеративного искусственного интеллекта (ИИ) для создания вводящих в заблуждение доменов, имитирующих OpenAI ChatGPT, что облегчает различные небезопасные действия, такие как фишинг, Grayware, программы-вымогатели и операции по управлению и контролю (C2).
Значительное количество этих доменов эксплуатируют популярность генеративного ИИ, включая ключевые слова вроде «GPT» или «ChatGPT». Примечательно, что более трети трафика на эти недавно зарегистрированные домены направляется на подозрительные сайты.
