UULoader Kötü Amaçlı Yazılım
Siber suçlular, zararlı yükleri iletmek için UULoader olarak bilinen yeni bir kötü amaçlı yazılım türü kullanıyor. Bu kötü amaçlı yazılımı tespit eden araştırmacılara göre, öncelikle Korece ve Çince konuşanları hedef alan, meşru uygulamalar gibi görünen bozuk yükleyiciler aracılığıyla yayılıyor. Göstergeler, DLL dosyasına gömülü program veritabanı (PDB) dosyalarında Çince dizeler bulunduğundan, UULoader'ın bir Çince konuşan tarafından geliştirilmiş olabileceğini gösteriyor. Bu kötü amaçlı yazılım, Gh0st RAT ve Mimikatz gibi tehlikeye atılma sonrası tehditleri dağıtmak için kullanılıyor.
UULoader'ın temel bileşenleri, dosya başlıkları kaldırılmış iki ana yürütülebilir dosya (bir .exe ve bir .dll) içeren bir Microsoft Cabinet (.cab) arşivi içinde paketlenmiştir.
İçindekiler
Tehdit Aktörleri Ek Kötü Amaçlı Yazılım Sunmak İçin UULoader'ı Kullanıyor
Yürütülebilir dosyalardan biri, bir DLL dosyasını yüklemek için kullanılan DLL yan yüklemesine karşı savunmasız meşru bir ikili dosyadır. Bu DLL, en sonunda son aşamayı tetikler: Gh0st RAT veya Mimikatz kimlik bilgisi toplayıcısı gibi uzaktan erişim araçları içeren 'XamlHost.sys' adlı gizlenmiş bir dosya.
MSI yükleyici dosyası ayrıca yürütülebilir dosyayı başlatan bir Visual Basic Script (.vbs) içerir (Realtek gibi) ve bazı UULoader örneklerinde dikkati başka yöne çekmek için bir aldatmaca dosyası çalıştırılır. Bu aldatmaca genellikle .msi dosyasının iddia ettiği şeyle örtüşür. Örneğin, yükleyici bir 'Chrome güncellemesi' gibi görünüyorsa, aldatmaca gerçek bir Chrome güncellemesi olacaktır.
Sahte Google Chrome yükleyicilerinin Gh0st RAT'ı dağıtmak için kullanılması ilk kez olmuyor. Geçtiğimiz ay, eSentire, uzaktan erişim trojanını dağıtmak için sahte bir Google Chrome sitesi kullanan Çinli Windows kullanıcılarını hedef alan bir saldırı zincirini bildirdi.
Dolandırıcılar ve Siber Suçlular Kripto Temalı Yemlerin Kullanımını Artırıyor
Tehdit aktörlerinin son zamanlarda Coinbase, Exodus ve MetaMask gibi popüler kripto para cüzdan servislerinin kullanıcılarını hedef alan binlerce kripto para temalı kimlik avı sitesi oluşturduğu gözlemlendi.
Bu kötü niyetli aktörler, Gitbook ve Webflow gibi ücretsiz barındırma platformlarını kullanarak kripto cüzdanı yazım hatası alt alan adlarında cazibeli siteler kuruyorlar. Bu aldatıcı siteler, kripto cüzdanları ve sahte URL'lere yönlendiren indirme bağlantıları hakkında bilgilerle kurbanları cezbediyor.
Bu URL'ler bir trafik dağıtım sistemi (TDS) işlevi görerek kullanıcıları ya kimlik avı içeriğine ya da araç ziyaretçinin bir güvenlik araştırmacısı olduğunu tespit ederse zararsız sayfalara yönlendirir.
Ek olarak, kimlik avı kampanyaları Hindistan ve ABD'de meşru hükümet kuruluşları gibi davranarak kullanıcıları hassas bilgileri toplamak için tasarlanmış sahte etki alanlarına yönlendiriyor. Bu çalınan veriler daha sonra gelecekteki dolandırıcılıklar, kimlik avı e-postaları, yanlış bilgi yayma veya kötü amaçlı yazılım dağıtma için kullanılabilir.
AI Buzz ayrıca yanıltıcı kampanyalarda da kullanıldı
Sosyal mühendislik taktikleri, OpenAI ChatGPT'yi taklit eden yanıltıcı etki alanları oluşturmak için üretken yapay zekadaki (AI) artıştan yararlanıyor ve kimlik avı, gri yazılım, fidye yazılımı ve Komuta ve Kontrol (C2) operasyonları gibi çeşitli güvenli olmayan faaliyetleri kolaylaştırıyor.
Bu alan adlarının önemli bir kısmı, 'GPT' veya 'ChatGPT' gibi anahtar kelimeleri dahil ederek üretken yapay zekanın popülerliğinden yararlanıyor. Özellikle, yeni kaydedilen bu alan adlarına gelen trafiğin üçte birinden fazlası şüpheli sitelere yönlendirilmiş durumda.
