UUloader మాల్వేర్

సైబర్ నేరస్థులు తదుపరి హానికరమైన పేలోడ్‌లను అందించడానికి UULoader అని పిలువబడే మాల్వేర్ యొక్క కొత్త జాతిని ఉపయోగిస్తున్నారు. ఈ మాల్వేర్‌ను గుర్తించిన పరిశోధకుల అభిప్రాయం ప్రకారం, ఇది ప్రాథమికంగా కొరియన్ మరియు చైనీస్ మాట్లాడేవారిని లక్ష్యంగా చేసుకుని, చట్టబద్ధమైన అప్లికేషన్‌ల వలె పాడైన ఇన్‌స్టాలర్‌ల ద్వారా వ్యాప్తి చెందుతుంది. DLL ఫైల్‌లో పొందుపరిచిన ప్రోగ్రామ్ డేటాబేస్ (PDB) ఫైల్‌లలో చైనీస్ స్ట్రింగ్‌లు కనుగొనబడినందున, UULoader చైనీస్ స్పీకర్ ద్వారా అభివృద్ధి చేయబడి ఉండవచ్చని సూచికలు సూచిస్తున్నాయి. Gh0st RAT మరియు Mimikatz వంటి రాజీ అనంతర బెదిరింపులను అమలు చేయడానికి ఈ మాల్వేర్ ప్రభావం చూపుతోంది.

UULoader యొక్క ప్రధాన భాగాలు మైక్రోసాఫ్ట్ క్యాబినెట్ (.cab) ఆర్కైవ్‌లో ప్యాక్ చేయబడ్డాయి, ఇందులో ఫైల్ హెడర్‌లు తీసివేయబడిన రెండు ప్రధాన ఎక్జిక్యూటబుల్స్ (ఒక .exe మరియు .dll) ఉన్నాయి.

అదనపు మాల్వేర్‌ను అందించడానికి ముప్పు నటులు UUloaderని ఉపయోగించుకుంటారు

ఎక్జిక్యూటబుల్స్‌లో ఒకటి DLL సైడ్-లోడింగ్‌కు హాని కలిగించే చట్టబద్ధమైన బైనరీ, ఇది DLL ఫైల్‌ను లోడ్ చేయడానికి వినియోగించబడుతుంది. ఈ DLL చివరికి చివరి దశను ట్రిగ్గర్ చేస్తుంది: Gh0st RAT లేదా Mimikatz క్రెడెన్షియల్ హార్వెస్టర్ వంటి రిమోట్ యాక్సెస్ సాధనాలను కలిగి ఉన్న 'XamlHost.sys' అనే పేరులేని ఫైల్.

MSI ఇన్‌స్టాలర్ ఫైల్‌లో విజువల్ బేసిక్ స్క్రిప్ట్ (.vbs) కూడా ఉంది, ఇది Realtek వంటి ఎక్జిక్యూటబుల్‌ను ప్రారంభించింది మరియు కొన్ని UULoader నమూనాలలో, దృష్టిని మళ్లించడానికి ఒక డికోయ్ ఫైల్ అమలు చేయబడుతుంది. ఈ డికోయ్ సాధారణంగా .msi ఫైల్ క్లెయిమ్ చేసే దానితో సమలేఖనం చేస్తుంది. ఉదాహరణకు, ఇన్‌స్టాలర్ 'Chrome అప్‌డేట్' వలె మాస్క్వెరేడ్ చేయబడితే, డికోయ్ నిజమైన Chrome అప్‌డేట్ అవుతుంది.

Gh0st RATని అమలు చేయడానికి నకిలీ Google Chrome ఇన్‌స్టాలర్‌లను ఉపయోగించడం ఇదే మొదటిసారి కాదు. గత నెలలో, రిమోట్ యాక్సెస్ ట్రోజన్‌ను పంపిణీ చేయడానికి నకిలీ Google Chrome సైట్‌ను ఉపయోగించి చైనీస్ విండోస్ వినియోగదారులను లక్ష్యంగా చేసుకుని దాడి గొలుసును eSentir నివేదించింది.

మోసగాళ్లు మరియు సైబర్ నేరగాళ్లు క్రిప్టో-థీమ్ ఎరల వినియోగాన్ని పెంచుతున్నారు

కాయిన్‌బేస్, ఎక్సోడస్ మరియు మెటామాస్క్ వంటి ప్రసిద్ధ క్రిప్టో-వాలెట్ సేవల వినియోగదారులను లక్ష్యంగా చేసుకుని వేలాది క్రిప్టోకరెన్సీ-థీమ్ ఫిషింగ్ సైట్‌లను సృష్టించడం ఇటీవలే ముప్పు కలిగించే వ్యక్తులు గమనించబడ్డారు.

క్రిప్టో వాలెట్ టైపోస్క్వాటర్ సబ్‌డొమైన్‌లలో ఎర సైట్‌లను సెటప్ చేయడానికి ఈ చెడు మనస్సు గల నటులు Gitbook మరియు Webflow వంటి ఉచిత హోస్టింగ్ ప్లాట్‌ఫారమ్‌లను ఉపయోగించుకుంటున్నారు. ఈ మోసపూరిత సైట్‌లు క్రిప్టో-వాలెట్‌లు మరియు మోసపూరిత URLలకు దారితీసే డౌన్‌లోడ్ లింక్‌ల గురించిన సమాచారంతో బాధితులను ఆకర్షిస్తాయి.

ఈ URLలు ట్రాఫిక్ డిస్ట్రిబ్యూషన్ సిస్టమ్ (TDS) వలె పని చేస్తాయి, వినియోగదారులను ఫిషింగ్ కంటెంట్‌కి లేదా సాధనం సందర్శకులను భద్రతా పరిశోధకుడిగా గుర్తిస్తే, హాని చేయని పేజీలకు దారి మళ్లిస్తుంది.

అదనంగా, ఫిషింగ్ ప్రచారాలు భారతదేశం మరియు యుఎస్‌లో చట్టబద్ధమైన ప్రభుత్వ సంస్థలుగా వ్యవహరిస్తున్నాయి, వినియోగదారులను సున్నితమైన సమాచారాన్ని సేకరించేందుకు రూపొందించిన నకిలీ డొమైన్‌లకు దారి మళ్లించాయి. ఈ దొంగిలించబడిన డేటా భవిష్యత్తులో స్కామ్‌లు, ఫిషింగ్ ఇమెయిల్‌లు, తప్పుడు సమాచారాన్ని వ్యాప్తి చేయడం లేదా మాల్వేర్‌లను పంపిణీ చేయడం కోసం ఉపయోగించబడుతుంది.

AI Buzz తప్పుదారి పట్టించే ప్రచారాలలో కూడా ఉపయోగించబడింది

ఫిషింగ్, గ్రేవేర్, ransomware మరియు కమాండ్-అండ్-కంట్రోల్ (C2) ఆపరేషన్‌ల వంటి వివిధ అసురక్షిత కార్యకలాపాలను సులభతరం చేస్తూ, OpenAI ChatGPTని అనుకరించే తప్పుదారి పట్టించే డొమైన్‌లను సృష్టించడానికి జనరేటివ్ ఆర్టిఫిషియల్ ఇంటెలిజెన్స్ (AI) పెరుగుదలను సోషల్ ఇంజనీరింగ్ వ్యూహాలు ఉపయోగించుకున్నాయి.

ఈ డొమైన్‌లలో గణనీయమైన సంఖ్యలో 'GPT' లేదా 'ChatGPT' వంటి కీలక పదాలను చేర్చడం ద్వారా ఉత్పాదక AI యొక్క ప్రజాదరణను ఉపయోగించుకుంటాయి. ముఖ్యంగా, కొత్తగా నమోదు చేయబడిన ఈ డొమైన్‌లకు ట్రాఫిక్‌లో మూడింట ఒక వంతు అనుమానాస్పద సైట్‌ల వైపు మళ్లించబడింది.