UULoader 恶意软件

网络犯罪分子正在使用一种名为 UULoader 的新恶意软件来传递后续有害负载。据识别此恶意软件的研究人员称，它通过伪装成合法应用程序的损坏安装程序进行传播，主要针对韩语和中文用户。有迹象表明 UULoader 可能是由中文用户开发的，因为在嵌入在 DLL 文件中的程序数据库 (PDB) 文件中发现了中文字符串。此恶意软件被用来部署入侵后威胁，例如Gh0st RAT和Mimikatz 。

UULoader 的核心组件打包在 Microsoft Cabinet (.cab) 档案中，其中包含两个已删除文件头的主要可执行文件（.exe 和 .dll）。

威胁者利用 UULoader 传播其他恶意软件

其中一个可执行文件是合法的二进制文件，存在 DLL 侧载漏洞，可利用该漏洞加载 DLL 文件。该 DLL 最终会触发最后阶段：一个名为“XamlHost.sys”的混淆文件，其中包含 Gh0st RAT 或 Mimikatz 凭证收集器等远程访问工具。

MSI 安装程序文件还包含一个 Visual Basic 脚本 (.vbs)，用于启动可执行文件（例如 Realtek），并且在某些 UULoader 样本中，会运行一个诱饵文件来转移注意力。此诱饵通常与 .msi 文件声称的内容一致。例如，如果安装程序伪装成“Chrome 更新”，则诱饵将是真正的 Chrome 更新。

这并不是第一次有人利用伪造的 Google Chrome 安装程序部署 Gh0st RAT。上个月，eSentire 报告了一条针对中国 Windows 用户的攻击链，该攻击链使用伪造的 Google Chrome 网站来分发远程访问木马。

诈骗分子和网络犯罪分子加大了对加密货币主题诱饵的使用

最近，有观察发现威胁行为者创建了数千个以加密货币为主题的网络钓鱼网站，目标是 Coinbase、Exodus 和 MetaMask 等流行加密钱包服务的用户。

这些心怀不轨的参与者利用 Gitbook 和 Webflow 等免费托管平台在加密钱包域名抢注者子域名上设置诱饵网站。这些欺骗性网站利用有关加密钱包的信息和指向欺诈性 URL 的下载链接吸引受害者。

这些 URL 充当流量分配系统 (TDS)，将用户重定向到网络钓鱼内容，或者如果该工具将访问者识别为安全研究人员，则重定向到无害页面。

此外，网络钓鱼活动还冒充印度和美国的合法政府实体，将用户重定向到旨在窃取敏感信息的虚假域名。这些被盗数据随后可用于未来的诈骗、网络钓鱼电子邮件、传播虚假信息或分发恶意软件。

AI Buzz 也被用于误导性宣传

社会工程学策略利用生成人工智能 (AI) 的激增，创建了模仿 OpenAI ChatGPT 的误导性域名，促进了各种不安全的活动，例如网络钓鱼、灰色软件、勒索软件和命令与控制 (C2) 操作。

这些域名中有很多都利用了生成式人工智能的流行性，加入了“GPT”或“ChatGPT”等关键词。值得注意的是，这些新注册域名的流量中，超过三分之一被导向了可疑网站。