Zlonamerna programska oprema UULoader
Kibernetski kriminalci uporabljajo novo različico zlonamerne programske opreme, znano kot UULoader, za dostavo poznejših škodljivih obremenitev. Po mnenju raziskovalcev, ki so odkrili to zlonamerno programsko opremo, se širi prek poškodovanih namestitvenih programov, ki se izdajajo za zakonite aplikacije in ciljajo predvsem na govorce korejščine in kitajščine. Indikatorji kažejo, da je UULoader morda razvil kitajski govorec, saj so bili kitajski nizi najdeni v datotekah zbirke podatkov programa (PDB), vdelanih v datoteko DLL. Ta zlonamerna programska oprema se uporablja za uvajanje postkompromitiranih groženj, kot sta Gh0st RAT in Mimikatz .
Osnovne komponente UULoaderja so zapakirane v arhiv Microsoft Cabinet (.cab), ki vsebuje dve glavni izvršljivi datoteki (.exe in .dll), ki imata odstranjene glave datotek.
Kazalo
Akterji groženj uporabljajo UULoader za dostavo dodatne zlonamerne programske opreme
Ena od izvršljivih datotek je zakonita binarna datoteka, ranljiva za stransko nalaganje DLL, ki se izkorišča za nalaganje datoteke DLL. Ta DLL na koncu sproži zadnjo stopnjo: zakrito datoteko z imenom 'XamlHost.sys', ki vsebuje orodja za oddaljeni dostop, kot sta Gh0st RAT ali zbiralnik poverilnic Mimikatz.
Datoteka namestitvenega programa MSI vključuje tudi skript Visual Basic (.vbs), ki zažene izvršljivo datoteko, na primer Realtek, v nekaterih vzorcih UULoaderja pa se za preusmerjanje pozornosti zažene datoteka z vabo. Ta vaba se običajno ujema s tem, kar trdi datoteka .msi. Če se namestitveni program na primer izda za »posodobitev za Chrome«, bo vaba pristna posodobitev za Chrome.
To ni prvič, da so bili za namestitev Gh0st RAT uporabljeni lažni namestitveni programi Google Chrome. Prejšnji mesec je eSentire poročal o verigi napadov, namenjenih kitajskim uporabnikom operacijskega sistema Windows, z uporabo lažnega spletnega mesta Google Chrome za distribucijo trojanca za oddaljeni dostop.
Goljufi in kibernetski kriminalci povečujejo uporabo vab s kripto tematiko
Pred kratkim so opazili, da akterji groženj ustvarjajo na tisoče spletnih mest z lažnim predstavljanjem na temo kriptovalut, ki ciljajo na uporabnike priljubljenih storitev kripto denarnic, kot so Coinbase, Exodus in MetaMask.
Ti slaboumni akterji izkoriščajo brezplačne platforme za gostovanje, kot sta Gitbook in Webflow, da vzpostavijo vabljiva spletna mesta na poddomenah kripto denarnice typosquatter. Ta goljufiva spletna mesta pritegnejo žrtve z informacijami o kripto denarnicah in povezavami za prenos, ki vodijo do goljufivih URL-jev.
Ti URL-ji delujejo kot sistem za distribucijo prometa (TDS), ki preusmerja uporabnike na lažno vsebino ali, če orodje prepozna obiskovalca kot varnostnega raziskovalca, na neškodljive strani.
Poleg tega se kampanje lažnega predstavljanja predstavljajo kot zakoniti vladni subjekti v Indiji in ZDA, ki uporabnike preusmerjajo na lažne domene, namenjene pridobivanju občutljivih informacij. Te ukradene podatke je mogoče nato uporabiti za prihodnje prevare, lažna e-poštna sporočila, širjenje napačnih informacij ali distribucijo zlonamerne programske opreme.
AI Buzz se izkorišča tudi v zavajajočih kampanjah
Taktike družbenega inženiringa so izkoristile porast generativne umetne inteligence (AI) za ustvarjanje zavajajočih domen, ki posnemajo OpenAI ChatGPT, kar omogoča različne nevarne dejavnosti, kot so lažno predstavljanje, siva programska oprema, izsiljevalska programska oprema in operacije ukazovanja in nadzora (C2).
Veliko teh domen izkorišča priljubljenost generativne umetne inteligence z vključitvijo ključnih besed, kot sta »GPT« ali »ChatGPT«. Predvsem več kot tretjina prometa na te na novo registrirane domene je bila usmerjena proti sumljivim stranem.
