Programari maliciós UUloader
Els ciberdelinqüents estan utilitzant una nova varietat de programari maliciós coneguda com UULoader per oferir càrregues útils perjudicials posteriors. Segons els investigadors que van identificar aquest programari maliciós, es propaga a través d'instal·ladors corruptes que es fan passar per aplicacions legítimes, dirigides principalment a parlants de coreà i xinès. Els indicadors suggereixen que UULoader pot haver estat desenvolupat per un parlant xinès, ja que s'han trobat cadenes xineses als fitxers de base de dades del programa (PDB) incrustats dins del fitxer DLL. Aquest programari maliciós s'està aprofitant per desplegar amenaces posteriors al compromís, com ara Gh0st RAT i Mimikatz .
Els components bàsics d'UULoader estan empaquetats dins d'un arxiu de Microsoft Cabinet (.cab), que conté dos executables principals (un .exe i un .dll) als quals s'han eliminat les capçaleres dels fitxers.
Taula de continguts
Els actors d'amenaça utilitzen UULoader per oferir programari maliciós addicional
Un dels executables és un binari legítim vulnerable a la càrrega lateral de DLL, que s'aprofita per carregar un fitxer DLL. Aquesta DLL finalment desencadena l'etapa final: un fitxer ofuscat anomenat "XamlHost.sys" que conté eines d'accés remot com ara Gh0st RAT o el recol·lector de credencials Mimikatz.
El fitxer d'instal·lació de MSI també inclou un script de Visual Basic (.vbs) que llança l'executable, com ara Realtek, i en algunes mostres de UULoader, s'executa un fitxer d'engany per desviar l'atenció. Aquest engany normalment s'alinea amb el que diu ser el fitxer .msi. Per exemple, si l'instal·lador es fa passar per una "actualització de Chrome", l'engany serà una actualització genuïna de Chrome.
Aquesta no és la primera vegada que s'utilitzen instal·ladors falsos de Google Chrome per implementar Gh0st RAT. El mes passat, eSentire va informar d'una cadena d'atac dirigida als usuaris de Windows xinesos, utilitzant un lloc fals de Google Chrome per distribuir el troià d'accés remot.
Els estafadors i els cibercriminals augmenten l'ús d'esquers de temàtica criptogràfica
Recentment s'ha observat que els actors de l'amenaça creen milers de llocs de pesca amb temes de criptomoneda dirigits als usuaris de serveis de cartera criptogràfica populars com Coinbase, Exodus i MetaMask.
Aquests actors malintencionats estan aprofitant plataformes d'allotjament gratuïtes com Gitbook i Webflow per configurar llocs d'atracció en subdominis de typosquatter de cartera criptogràfica. Aquests llocs enganyosos atrauen les víctimes amb informació sobre moneders criptogràfics i enllaços de descàrrega que condueixen a URL fraudulents.
Aquests URL funcionen com un sistema de distribució de trànsit (TDS), redirigint els usuaris al contingut de pesca o, si l'eina identifica el visitant com a investigador de seguretat, a pàgines inofensives.
A més, les campanyes de pesca també es fan passar com a entitats governamentals legítimes a l'Índia i als Estats Units, redirigint els usuaris a dominis falsos dissenyats per recollir informació sensible. Aquestes dades robades es poden utilitzar per a futures estafes, correus electrònics de pesca, difondre informació errònia o distribuir programari maliciós.
AI Buzz també s'ha explotat en campanyes enganyoses
Les tàctiques d'enginyeria social han aprofitat l'augment de la intel·ligència artificial generativa (IA) per crear dominis enganyosos que imiten OpenAI ChatGPT, facilitant diverses activitats insegures com ara phishing, grayware, ransomware i operacions de comandament i control (C2).
Un nombre important d'aquests dominis exploten la popularitat de l'IA generativa incorporant paraules clau com "GPT" o "ChatGPT". En particular, més d'un terç del trànsit a aquests dominis recentment registrats s'ha dirigit a llocs sospitosos.
