UULoader Malware
Kriminelët kibernetikë po përdorin një lloj të ri malware të njohur si UULoader për të ofruar ngarkesa të mëvonshme të dëmshme. Sipas studiuesve që identifikuan këtë malware, ai përhapet përmes instaluesve të korruptuar që paraqiten si aplikacione legjitime, duke synuar kryesisht folësit koreanë dhe kinezë. Treguesit sugjerojnë se UULoader mund të jetë zhvilluar nga një folës kinez, pasi vargjet kineze janë gjetur në skedarët e bazës së të dhënave të programit (PDB) të ngulitura brenda skedarit DLL. Ky malware po përdoret për të vendosur kërcënime pas kompromisit, si Gh0st RAT dhe Mimikatz .
Komponentët bazë të UULoader janë të paketuara brenda një arkivi të kabinetit të Microsoft (.cab), që përmban dy ekzekutues kryesorë (një .exe dhe një .dll) të cilëve u janë hequr kokat e skedarëve.
Tabela e Përmbajtjes
Aktorët e kërcënimit përdorin UULoader për të ofruar malware shtesë
Një nga ekzekutuesit është një binar legjitim i cenueshëm ndaj ngarkimit anësor DLL, i cili shfrytëzohet për të ngarkuar një skedar DLL. Kjo DLL në fund të fundit shkakton fazën përfundimtare: një skedar i turbullt i quajtur 'XamlHost.sys' që përmban mjete të aksesit në distancë si Gh0st RAT ose korrës kredencialesh Mimikatz.
Skedari i instaluesit MSI përfshin gjithashtu një Skript Visual Basic (.vbs) që lëshon ekzekutuesin—si p.sh. Realtek—dhe në disa mostra UULoader, një skedar decoy ekzekutohet për të larguar vëmendjen. Ky mashtrim zakonisht përputhet me atë që pretendon se është skedari .msi. Për shembull, nëse instaluesi maskohet si një 'përditësim i Chrome', mashtrimi do të jetë një përditësim i vërtetë i Chrome.
Kjo nuk është hera e parë që instaluesit e rremë të Google Chrome janë përdorur për të vendosur Gh0st RAT. Muajin e kaluar, eSentire raportoi një zinxhir sulmi që synonte përdoruesit kinezë të Windows, duke përdorur një faqe të rreme të Google Chrome për të shpërndarë trojanin e aksesit në distancë.
Mashtruesit dhe kriminelët kibernetikë rritin përdorimin e joshjeve me temë kripto
Aktorët e kërcënimit janë vërejtur kohët e fundit duke krijuar mijëra faqe phishing me temë kriptomonedha që synojnë përdoruesit e shërbimeve të njohura të kripto-portofolit si Coinbase, Exodus dhe MetaMask.
Këta aktorë mendjemprehtë po shfrytëzojnë platformat e pritjes falas si Gitbook dhe Webflow për të krijuar faqe joshëse në nënfushat tiposquatter të portofolit kripto. Këto faqe mashtruese tërheqin viktimat me informacione në lidhje me kuletat e kriptove dhe lidhjet e shkarkimit që çojnë në URL mashtruese.
Këto URL funksionojnë si një sistem i shpërndarjes së trafikut (TDS), duke i ridrejtuar përdoruesit ose në përmbajtje phishing ose, nëse mjeti e identifikon vizitorin si një studiues sigurie, në faqe të padëmshme.
Për më tepër, fushatat e phishing po paraqiten gjithashtu si entitete legjitime qeveritare në Indi dhe SHBA, duke ridrejtuar përdoruesit në domene të rreme të krijuara për të mbledhur informacione të ndjeshme. Këto të dhëna të vjedhura më pas mund të përdoren për mashtrime të ardhshme, emaile phishing, përhapjen e dezinformatave ose shpërndarjen e malware.
AI Buzz gjithashtu shfrytëzohet në fushata mashtruese
Taktikat e inxhinierisë sociale kanë përfituar nga rritja e inteligjencës artificiale gjeneruese (AI) për të krijuar domene mashtruese që imitojnë OpenAI ChatGPT, duke lehtësuar aktivitete të ndryshme të pasigurta si phishing, grayware, ransomware dhe operacione Command-and-Control (C2).
Një numër i konsiderueshëm i këtyre domeneve shfrytëzojnë popullaritetin e AI gjeneruese duke përfshirë fjalë kyçe si 'GPT' ose 'ChatGPT'. Veçanërisht, mbi një e treta e trafikut në këto domene të regjistruara rishtazi është drejtuar drejt vendeve të dyshimta.
