UULoader skadlig programvara
Cyberkriminella använder en ny stam av skadlig programvara känd som UULoader för att leverera efterföljande skadliga nyttolaster. Enligt forskarna som identifierade denna skadliga programvara sprids den genom korrupta installatörer som utger sig för att vara legitima applikationer, främst inriktade på koreanska och kinesiska talare. Indikatorer tyder på att UULoader kan ha utvecklats av en kinesisk talare, eftersom kinesiska strängar har hittats i programdatabasfilerna (PDB) inbäddade i DLL-filen. Denna skadliga programvara utnyttjas för att distribuera hot efter kompromiss, såsom Gh0st RAT och Mimikatz .
UULoaders kärnkomponenter är förpackade i ett Microsoft Cabinet (.cab)-arkiv, som innehåller två huvudsakliga körbara filer (en .exe och en .dll) som har fått sina filhuvuden borttagna.
Innehållsförteckning
Hotaktörer använder UULoader för att leverera ytterligare skadlig programvara
En av de körbara filerna är en legitim binär som är sårbar för sidladdning av DLL, som utnyttjas för att ladda en DLL-fil. Denna DLL utlöser slutligen det sista steget: en obfuskerad fil med namnet 'XamlHost.sys' som innehåller fjärråtkomstverktyg som Gh0st RAT eller Mimikatz credential harvester.
MSI-installationsfilen innehåller också ett Visual Basic-skript (.vbs) som startar den körbara filen – som Realtek – och i vissa UULoader-exempel körs en lockbetefil för att avleda uppmärksamheten. Detta lockbete är vanligtvis i linje med vad .msi-filen påstår sig vara. Till exempel, om installationsprogrammet maskerar sig som en "Chrome-uppdatering", kommer lockbetet att vara en äkta Chrome-uppdatering.
Detta är inte första gången falska Google Chrome-installationsprogram har använts för att distribuera Gh0st RAT. Förra månaden rapporterade eSentire en attackkedja riktad mot kinesiska Windows-användare, med hjälp av en falsk Google Chrome-webbplats för att distribuera fjärråtkomsttrojanen.
Bedragare och cyberbrottslingar ökar användningen av lockbeten med kryptotema
Hotaktörer har nyligen observerats skapa tusentals phishing-webbplatser med kryptovaluta-tema som riktar sig till användare av populära kryptoplånbokstjänster som Coinbase, Exodus och MetaMask.
Dessa illasinnade skådespelare utnyttjar gratis värdplattformar som Gitbook och Webflow för att sätta upp lockelsesidor på typosquatter-underdomäner för kryptoplånbok. Dessa vilseledande webbplatser lockar offer med information om kryptoplånböcker och nedladdningslänkar som leder till bedrägliga webbadresser.
Dessa webbadresser fungerar som ett trafikdistributionssystem (TDS), som omdirigerar användare antingen till nätfiskeinnehåll eller, om verktyget identifierar besökaren som en säkerhetsforskare, till ofarliga sidor.
Dessutom utger sig nätfiskekampanjer som legitima statliga enheter i Indien och USA, och omdirigerar användare till falska domäner som är utformade för att samla in känslig information. Denna stulna data kan sedan användas för framtida bedrägerier, nätfiske-e-post, spridning av felaktig information eller spridning av skadlig programvara.
AI Buzz utnyttjade också i vilseledande kampanjer
Taktik för social ingenjörskonst har utnyttjat ökningen av generativ artificiell intelligens (AI) för att skapa vilseledande domäner som imiterar OpenAI ChatGPT, vilket underlättar olika osäkra aktiviteter som nätfiske, greyware, ransomware och Command-and-Control-operationer (C2).
Ett betydande antal av dessa domäner utnyttjar populariteten hos generativ AI genom att inkludera nyckelord som "GPT" eller "ChatGPT". Noterbart är att över en tredjedel av trafiken till dessa nyregistrerade domäner har riktats mot misstänkta webbplatser.
