มัลแวร์ UULoader

อาชญากรไซเบอร์กำลังใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า UULoader เพื่อส่งเพย์โหลดที่เป็นอันตรายตามมา นักวิจัยที่ระบุมัลแวร์นี้ระบุว่ามัลแวร์นี้แพร่กระจายผ่านโปรแกรมติดตั้งที่เสียหายซึ่งแอบอ้างว่าเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย โดยกำหนดเป้าหมายไปที่ผู้ใช้ภาษาเกาหลีและจีนเป็นหลัก ตัวบ่งชี้บ่งชี้ว่า UULoader อาจได้รับการพัฒนาโดยผู้ใช้ภาษาจีน เนื่องจากพบสตริงภาษาจีนในไฟล์ฐานข้อมูลโปรแกรม (PDB) ที่ฝังอยู่ในไฟล์ DLL มัลแวร์นี้ถูกใช้เพื่อปล่อยภัยคุกคามหลังการบุกรุก เช่น Gh0st RAT และ Mimikatz

ส่วนประกอบหลักของ UULoader ถูกบรรจุอยู่ในไฟล์เก็บถาวร Microsoft Cabinet (.cab) ซึ่งประกอบด้วยไฟล์ปฏิบัติการหลัก 2 ไฟล์ (.exe และ .dll) ที่มีการลบส่วนหัวของไฟล์ออกไป

ผู้ก่อภัยคุกคามใช้ UULoader เพื่อส่งมัลแวร์เพิ่มเติม

ไฟล์ปฏิบัติการหนึ่งไฟล์เป็นไฟล์ไบนารีที่ถูกต้องตามกฎหมายซึ่งเสี่ยงต่อการโหลด DLL จากด้านข้าง ซึ่งถูกใช้ประโยชน์เพื่อโหลดไฟล์ DLL ไฟล์ DLL นี้จะกระตุ้นขั้นตอนสุดท้ายในท้ายที่สุด: ไฟล์ที่เข้ารหัสชื่อ 'XamlHost.sys' ซึ่งประกอบด้วยเครื่องมือการเข้าถึงระยะไกล เช่น Gh0st RAT หรือเครื่องมือรวบรวมข้อมูลประจำตัว Mimikatz

ไฟล์ติดตั้ง MSI ยังรวมถึงสคริปต์ Visual Basic (.vbs) ที่เปิดใช้งานไฟล์ปฏิบัติการ เช่น Realtek และในตัวอย่าง UULoader บางตัวอย่าง จะมีการเรียกใช้ไฟล์หลอกลวงเพื่อเบี่ยงเบนความสนใจ ไฟล์หลอกลวงนี้มักจะตรงกับสิ่งที่ไฟล์ .msi อ้างไว้ ตัวอย่างเช่น หากโปรแกรมติดตั้งปลอมตัวเป็น "การอัปเดต Chrome" ไฟล์หลอกลวงนั้นจะเป็นการอัปเดต Chrome ที่แท้จริง

นี่ไม่ใช่ครั้งแรกที่มีการใช้โปรแกรมติดตั้ง Google Chrome ปลอมเพื่อติดตั้ง Gh0st RAT เมื่อเดือนที่แล้ว eSentire รายงานการโจมตีแบบต่อเนื่องที่กำหนดเป้าหมายผู้ใช้ Windows ชาวจีน โดยใช้เว็บไซต์ Google Chrome ปลอมเพื่อเผยแพร่โทรจันการเข้าถึงระยะไกล

ผู้ฉ้อโกงและอาชญากรทางไซเบอร์เพิ่มการใช้เหยื่อล่อที่เกี่ยวข้องกับสกุลเงินดิจิทัล

เมื่อเร็วๆ นี้ พบว่าผู้ก่อภัยคุกคามสร้างเว็บไซต์ฟิชชิ่งที่เกี่ยวข้องกับสกุลเงินดิจิทัลจำนวนหลายพันแห่ง โดยกำหนดเป้าหมายไปที่ผู้ใช้บริการกระเป๋าเงินดิจิทัลยอดนิยม เช่น Coinbase, Exodus และ MetaMask

ผู้กระทำความผิดเหล่านี้ใช้ประโยชน์จากแพลตฟอร์มโฮสติ้งฟรี เช่น Gitbook และ Webflow เพื่อตั้งเว็บไซต์ล่อเหยื่อบนโดเมนย่อยของผู้แอบอ้างสิทธิ์ในกระเป๋าสตางค์คริปโต เว็บไซต์หลอกลวงเหล่านี้ดึงดูดเหยื่อด้วยข้อมูลเกี่ยวกับกระเป๋าสตางค์คริปโตและลิงก์ดาวน์โหลดที่นำไปสู่ URL ปลอม

URL เหล่านี้ทำงานเป็นระบบกระจายปริมาณการเข้าชม (TDS) โดยเปลี่ยนเส้นทางผู้ใช้ไปยังเนื้อหาฟิชชิ่ง หรือหากเครื่องมือระบุตัวผู้เยี่ยมชมว่าเป็นนักวิจัยด้านความปลอดภัย ก็จะไปยังหน้าที่ไม่เป็นอันตราย

นอกจากนี้ แคมเปญฟิชชิ่งยังแอบอ้างตัวเป็นหน่วยงานของรัฐในอินเดียและสหรัฐอเมริกา โดยเปลี่ยนเส้นทางผู้ใช้ไปยังโดเมนปลอมที่ออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน ข้อมูลที่ขโมยมานี้สามารถนำไปใช้ในการหลอกลวง ส่งอีเมลฟิชชิ่ง เผยแพร่ข้อมูลที่ผิดพลาด หรือแจกจ่ายมัลแวร์ในอนาคต

AI Buzz ยังถูกใช้ประโยชน์ในแคมเปญที่ให้ข้อมูลที่ทำให้เข้าใจผิด

กลวิธีทางวิศวกรรมทางสังคมได้ใช้ประโยชน์จากการเพิ่มขึ้นของปัญญาประดิษฐ์เชิงสร้างสรรค์ (AI) เพื่อสร้างโดเมนที่เข้าใจผิดซึ่งเลียนแบบ OpenAI ChatGPT ซึ่งอำนวยความสะดวกให้กับกิจกรรมที่ไม่ปลอดภัยต่างๆ เช่น ฟิชชิ่ง เกรย์แวร์ แรนซัมแวร์ และการปฏิบัติการคำสั่งและการควบคุม (C2)

โดเมนจำนวนมากเหล่านี้ใช้ประโยชน์จากความนิยมของ AI เชิงสร้างสรรค์โดยการรวมคีย์เวิร์ดเช่น "GPT" หรือ "ChatGPT" ที่น่าสังเกตคือ มากกว่าหนึ่งในสามของปริมาณการเข้าชมโดเมนที่จดทะเบียนใหม่เหล่านี้ถูกส่งต่อไปยังไซต์ที่น่าสงสัย