UULoader惡意軟體

網路犯罪分子正在使用一種名為 UULoader 的新型惡意軟體來傳遞後續有害負載。據識別出該惡意軟體的研究人員稱，該惡意軟體透過偽裝成合法應用程式的損壞的安裝程式進行傳播，主要針對韓語和中文使用者。有跡象表明，UULoader 可能是由中國人開發的，因為在嵌入 DLL 檔案的程式資料庫 (PDB) 檔案中發現了中文字串。該惡意軟體被用來部署妥協後的威脅，例如Gh0st RAT和Mimikatz 。

UULoader 的核心元件打包在 Microsoft Cabinet (.cab) 檔案中，其中包含兩個已刪除檔案頭的主要執行檔（一個 .exe 和一個 .dll）。

威脅行為者利用 UULoader 傳播更多惡意軟體

其中一個可執行檔是合法的二進位文件，容易受到 DLL 側面載入的影響，可被利用來載入 DLL 檔案。此 DLL 最終觸發最後階段：名為「XamlHost.sys」的模糊文件，其中包含遠端存取工具，例如 Gh0st RAT 或 Mimikatz 憑證收集器。

MSI 安裝程式檔案還包括啟動執行檔（例如 Realtek）的 Visual Basic 腳本 (.vbs)，並且在某些 UULoader 範例中，會執行誘餌檔案來轉移注意力。此誘餌通常與 .msi 文件聲稱的內容一致。例如，如果安裝程式偽裝成“Chrome 更新”，則誘餌將是真正的 Chrome 更新。

這並不是第一次使用假 Google Chrome 安裝程式來部署 Gh0st RAT。上個月，eSentire 報告了一個針對中國 Windows 用戶的攻擊鏈，使用假冒的 Google Chrome 網站傳播遠端存取木馬。

詐欺者和網路犯罪分子加強了加密貨幣主題誘餌的使用力度

最近，據觀察，威脅行為者創建了數千個以加密貨幣為主題的網路釣魚網站，目標物件是 Coinbase、Exodus 和 MetaMask 等流行加密錢包服務的用戶。

這些心懷惡意的行為者正在利用 Gitbook 和 Webflow 等免費託管平台在加密錢包域名仿冒者子域上設置誘惑網站。這些欺騙性網站透過加密錢包的資訊和導致詐騙 URL 的下載連結來吸引受害者。

這些 URL 可作為流量分配系統 (TDS)，將使用者重新導向至網路釣魚內容，或者如果該工具將訪客識別為安全研究人員，則將使用者重新導向至無害的頁面。

此外，網路釣魚活動也冒充印度和美國的合法政府實體，將使用者重新導向到旨在收集敏感資訊的虛假網域。這些被盜資料可用於未來的詐騙、網路釣魚電子郵件、傳播錯誤訊息或散佈惡意軟體。

AI Buzz 也被用於誤導性活動

社會工程策略利用產生人工智慧 (AI) 的激增來創建模仿 OpenAI ChatGPT 的誤導性領域，從而促進各種不安全活動，例如網路釣魚、灰色軟體、勒索軟體和命令與控制 (C2) 操作。

其中大量領域透過合併「GPT」或「ChatGPT」等關鍵字來利用生成式人工智慧的流行。值得注意的是，這些新註冊網域的流量中有超過三分之一被導向到可疑網站。