Malvér UULoader
Kyberzločinci používajú nový kmeň malvéru známy ako UULoader na poskytovanie následných škodlivých dát. Podľa vedcov, ktorí tento malvér identifikovali, sa šíri prostredníctvom poškodených inštalátorov, ktorí sa tvária ako legitímne aplikácie, ktoré sa zameriavajú predovšetkým na kórejsky a čínsky hovoriacich ľudí. Indikátory naznačujú, že UULoader mohol byť vyvinutý čínskym hovorcom, pretože v súboroch databázy programov (PDB) vložených do súboru DLL sa našli čínske reťazce. Tento malvér sa využíva na nasadenie post-kompromisných hrozieb, ako sú Gh0st RAT a Mimikatz .
Základné komponenty UULoader sú zabalené v archíve Microsoft Cabinet (.cab), ktorý obsahuje dva hlavné spustiteľné súbory (.exe a .dll), z ktorých boli odstránené hlavičky súborov.
Obsah
Aktéri hrozieb využívajú UULoader na dodávanie ďalšieho malvéru
Jeden zo spustiteľných súborov je legitímny binárny súbor náchylný na načítanie DLL zboku, ktorý sa využíva na načítanie súboru DLL. Táto knižnica DLL v konečnom dôsledku spúšťa poslednú fázu: zmätený súbor s názvom „XamlHost.sys“, ktorý obsahuje nástroje vzdialeného prístupu, ako je Gh0st RAT alebo zberač poverení Mimikatz.
Inštalačný súbor MSI tiež obsahuje skript Visual Basic Script (.vbs), ktorý spúšťa spustiteľný súbor – ako napríklad Realtek – av niektorých vzorkách UULoader je spustený súbor návnady, aby odvrátil pozornosť. Táto návnada sa zvyčajne zhoduje s tým, čo tvrdí súbor .msi. Ak sa napríklad inštalátor maskuje ako „aktualizácia prehliadača Chrome“, návnadou bude pravá aktualizácia prehliadača Chrome.
Nie je to prvýkrát, čo boli na nasadenie Gh0st RAT použité falošné inštalátory prehliadača Google Chrome. Minulý mesiac spoločnosť eSentire oznámila reťaz útokov zameraných na čínskych používateľov systému Windows pomocou falošnej stránky Google Chrome na distribúciu trójskeho koňa pre vzdialený prístup.
Podvodníci a kyberzločinci zintenzívňujú používanie návnad s kryptotematikou
Aktéri hrozieb boli nedávno pozorovaní pri vytváraní tisícok phishingových stránok s tematikou kryptomien zameraných na používateľov populárnych služieb krypto-peňaženiek, ako sú Coinbase, Exodus a MetaMask.
Títo zle zmýšľajúci aktéri využívajú bezplatné hostingové platformy, ako sú Gitbook a Webflow, na vytváranie lákadiel na subdoménach typosquatterov s krypto peňaženkami. Tieto klamlivé stránky lákajú obete informáciami o kryptopeňaženkách a odkazmi na stiahnutie, ktoré vedú na podvodné adresy URL.
Tieto adresy URL fungujú ako systém distribúcie návštevnosti (TDS), ktorý používateľov presmeruje buď na phishingový obsah, alebo ak nástroj identifikuje návštevníka ako bezpečnostného výskumníka, na neškodné stránky.
Okrem toho sa phishingové kampane tiež vydávajú za legitímne vládne subjekty v Indii a USA, ktoré presmerovávajú používateľov na falošné domény určené na získavanie citlivých informácií. Tieto ukradnuté dáta môžu byť následne použité na budúce podvody, phishingové e-maily, šírenie dezinformácií alebo distribúciu malvéru.
AI Buzz sa využíva aj v zavádzajúcich kampaniach
Taktiky sociálneho inžinierstva využili prudký nárast generatívnej umelej inteligencie (AI) na vytvorenie zavádzajúcich domén, ktoré napodobňujú OpenAI ChatGPT, čím uľahčujú rôzne nebezpečné aktivity, ako sú phishing, grayware, ransomware a operácie Command-and-Control (C2).
Značný počet týchto domén využíva popularitu generatívnej AI zahrnutím kľúčových slov ako „GPT“ alebo „ChatGPT“. Je pozoruhodné, že viac ako tretina návštevnosti týchto novoregistrovaných domén smerovala na podozrivé stránky.
