УУЛоадер Малваре
Сајбер криминалци користе нову врсту малвера познату као УУЛоадер за испоруку накнадних штетних садржаја. Према истраживачима који су идентификовали овај малвер, он се шири преко оштећених инсталатера који се представљају као легитимне апликације, првенствено усмерене на говорнике корејског и кинеског језика. Индикатори сугеришу да је УУЛоадер можда развио кинески говорник, пошто су кинески низови пронађени у датотекама базе података програма (ПДБ) уграђеним у ДЛЛ датотеку. Овај злонамерни софтвер се користи за примену претњи након компромиса, као што су Гх0ст РАТ и Мимикатз .
Основне компоненте УУЛоадер-а су упаковане у Мицрософт Цабинет (.цаб) архиву, која садржи две главне извршне датотеке (.еке и .длл) којима су уклоњена заглавља датотека.
Преглед садржаја
Актери претњи користе УУЛоадер за испоруку додатног малвера
Једна од извршних датотека је легитимна бинарна датотека која је рањива на бочно учитавање ДЛЛ-а, која се користи за учитавање ДЛЛ датотеке. Овај ДЛЛ на крају покреће последњу фазу: замагљена датотека под називом 'КсамлХост.сис' која садржи алатке за даљински приступ као што су Гх0ст РАТ или Мимикатз сакупљач акредитива.
МСИ инсталациони фајл такође укључује Висуал Басиц Сцрипт (.вбс) који покреће извршни фајл—као што је Реалтек—а у неким узорцима УУЛоадер-а покреће се датотека за привлачење да би се скренула пажња. Овај мамац је обично усклађен са оним што .мси датотека тврди да јесте. На пример, ако се инсталатер маскира као „ажурирање Цхроме-а“, мамац ће бити право ажурирање Цхроме-а.
Ово није први пут да су лажни инсталатери Гоогле Цхроме-а коришћени за примену Гх0ст РАТ-а. Прошлог месеца, еСентире је пријавио ланац напада који је циљао кинеске кориснике Виндовс-а, користећи лажни Гоогле Цхроме сајт за дистрибуцију тројанца за даљински приступ.
Преваранти и сајбер криминалци повећавају употребу мамаца са крипто тематиком
Актери претњи су недавно примећени како креирају хиљаде сајтова за крађу идентитета са темом криптовалута који циљају на кориснике популарних услуга криптовалута као што су Цоинбасе, Екодус и МетаМаск.
Ови злобни актери користе бесплатне платформе за хостовање као што су Гитбоок и Вебфлов да би поставили сајтове за привлачење на поддоменима крипто новчаника. Ови обмањујући сајтови привлаче жртве информацијама о крипто-новчаницима и везама за преузимање које воде до лажних УРЛ адреса.
Ове УРЛ адресе функционишу као систем за дистрибуцију саобраћаја (ТДС), преусмеравајући кориснике или на пхисхинг садржај или, ако алатка идентификује посетиоца као истраживача безбедности, на безопасне странице.
Поред тога, пхисхинг кампање се такође представљају као легитимни владини ентитети у Индији и САД, преусмеравајући кориснике на лажне домене дизајниране за прикупљање осетљивих информација. Ови украдени подаци се затим могу користити за будуће преваре, пхисхинг е-поруке, ширење дезинформација или дистрибуцију злонамерног софтвера.
АИ Бузз се такође користи у обмањујућим кампањама
Тактике друштвеног инжењеринга су искористиле пораст генеративне вештачке интелигенције (АИ) како би се створили обмањујући домени који имитирају ОпенАИ ЦхатГПТ, олакшавајући различите небезбедне активности као што су пхисхинг, граиваре, рансомваре и операције командовања и контроле (Ц2).
Значајан број ових домена искоришћава популарност генеративне АИ тако што укључује кључне речи као што су „ГПТ“ или „ЦхатГПТ“. Приметно је да је преко трећине саобраћаја на овим новорегистрованим доменима усмерено ка сумњивим сајтовима.
