Шкідливе програмне забезпечення UULoader
Кіберзлочинці використовують новий тип шкідливого програмного забезпечення, відомий як UULoader, для доставки наступних шкідливих корисних навантажень. За словами дослідників, які виявили це зловмисне програмне забезпечення, воно поширюється через пошкоджені інсталятори, які видають себе за легальні програми, головним чином націлені на корейсько- та китайськомовних. Індикатори свідчать про те, що UULoader міг бути розроблений китайською мовою, оскільки китайські рядки були знайдені у файлах бази даних програми (PDB), вбудованих у файл DLL. Це зловмисне програмне забезпечення використовується для розгортання посткомпрометованих загроз, таких як Gh0st RAT і Mimikatz .
Основні компоненти UULoader упаковані в архів Microsoft Cabinet (.cab), що містить два основні виконувані файли (.exe та .dll), у яких видалено заголовки файлів.
Зміст
Зловмисники використовують UULoader для доставки додаткових шкідливих програм
Один із виконуваних файлів є законним двійковим файлом, уразливим до бокового завантаження DLL, який використовується для завантаження файлу DLL. Зрештою, ця DLL запускає останній етап: обфускований файл під назвою «XamlHost.sys», який містить інструменти віддаленого доступу, такі як Gh0st RAT або збирач облікових даних Mimikatz.
Файл інсталятора MSI також містить сценарій Visual Basic (.vbs), який запускає виконуваний файл, наприклад Realtek, а в деяких зразках UULoader запускається файл-приманка, щоб відвернути увагу. Ця приманка зазвичай узгоджується з файлом .msi. Наприклад, якщо інсталятор маскується під «оновлення Chrome», приманкою буде справжнє оновлення Chrome.
Це не перший випадок, коли для розгортання Gh0st RAT використовуються підроблені інсталятори Google Chrome. Минулого місяця eSentire повідомила про ланцюжок атак, націлених на китайських користувачів Windows, з використанням підробленого сайту Google Chrome для розповсюдження трояна віддаленого доступу.
Шахраї та кіберзлочинці розширюють використання приманок на тему крипто
Нещодавно було помічено, що зловмисники створюють тисячі фішингових сайтів із криптовалютною тематикою, націлених на користувачів популярних сервісів криптогаманців, таких як Coinbase, Exodus і MetaMask.
Ці недоброзичливці використовують такі безкоштовні хостингові платформи, як Gitbook і Webflow, щоб створювати сайти-приманки на субдоменах typosquatter криптогаманців. Ці шахрайські сайти приваблюють жертв інформацією про крипто-гаманці та посиланнями для завантаження, які ведуть на шахрайські URL-адреси.
Ці URL-адреси функціонують як система розподілу трафіку (TDS), перенаправляючи користувачів або на фішинговий вміст, або, якщо інструмент ідентифікує відвідувача як дослідника безпеки, на нешкідливі сторінки.
Крім того, фішингові кампанії також видають себе за законних державних установ в Індії та США, перенаправляючи користувачів на підроблені домени, призначені для збору конфіденційної інформації. Ці викрадені дані потім можуть бути використані для майбутніх шахрайств, фішингових електронних листів, поширення дезінформації або розповсюдження шкідливого програмного забезпечення.
AI Buzz також використовувався в оманливих кампаніях
Тактика соціальної інженерії скористалася сплеском генеративного штучного інтелекту (AI) для створення оманливих доменів, які імітують OpenAI ChatGPT, сприяючи різноманітним небезпечним діям, таким як фішинг, grayware, програми-вимагачі та операції командування та контролю (C2).
Значна кількість цих доменів використовує популярність генеративного штучного інтелекту, додаючи такі ключові слова, як «GPT» або «ChatGPT». Примітно, що більше третини трафіку цих нещодавно зареєстрованих доменів було спрямовано на підозрілі сайти.
