UULoader Malware
Cyberkriminelle bruger en ny stamme af malware kendt som UULoader til at levere efterfølgende skadelige nyttelaster. Ifølge forskerne, der identificerede denne malware, spredes den gennem korrupte installatører, der udgiver sig for at være legitime applikationer, primært rettet mod koreansk- og kinesisktalende. Indikatorer tyder på, at UULoader kan være udviklet af en kinesisk taler, da kinesiske strenge er blevet fundet i programdatabase-filerne (PDB) indlejret i DLL-filen. Denne malware bliver udnyttet til at implementere post-kompromis trusler, såsom Gh0st RAT og Mimikatz .
UULoaders kernekomponenter er pakket i et Microsoft Cabinet (.cab)-arkiv, der indeholder to hovedeksekverbare filer (en .exe og en .dll), som har fået deres filoverskrifter fjernet.
Indholdsfortegnelse
Trusselaktører bruger UULoader til at levere yderligere malware
En af de eksekverbare filer er en legitim binær, der er sårbar over for DLL-sideindlæsning, som udnyttes til at indlæse en DLL-fil. Denne DLL udløser i sidste ende det sidste trin: en sløret fil ved navn 'XamlHost.sys', der indeholder fjernadgangsværktøjer såsom Gh0st RAT eller Mimikatz credential harvester.
MSI-installationsfilen inkluderer også et Visual Basic Script (.vbs), der starter den eksekverbare fil – såsom Realtek – og i nogle UULoader-eksempler køres en lokkefil for at aflede opmærksomheden. Dette lokkemiddel stemmer typisk overens med, hvad .msi-filen hævder at være. For eksempel, hvis installationsprogrammet udgiver sig som en 'Chrome-opdatering', vil lokkemidlet være en ægte Chrome-opdatering.
Dette er ikke første gang, falske Google Chrome-installationsprogrammer er blevet brugt til at implementere Gh0st RAT. Sidste måned rapporterede eSentire en angrebskæde rettet mod kinesiske Windows-brugere ved at bruge et falsk Google Chrome-websted til at distribuere fjernadgangstrojaneren.
Svindlere og cyberkriminelle øger brugen af lokker med kryptotema
Trusselaktører er for nylig blevet observeret at skabe tusindvis af phishing-websteder med kryptovaluta-tema, der målretter mod brugere af populære krypto-wallet-tjenester som Coinbase, Exodus og MetaMask.
Disse dårligt sindede aktører udnytter gratis hostingplatforme såsom Gitbook og Webflow til at oprette lokkesider på crypto wallet typosquatter underdomæner. Disse vildledende websteder tiltrækker ofre med information om krypto-wallets og downloadlinks, der fører til svigagtige URL'er.
Disse URL'er fungerer som et trafikdistributionssystem (TDS), der omdirigerer brugere enten til phishing-indhold eller, hvis værktøjet identificerer den besøgende som en sikkerhedsforsker, til harmløse sider.
Derudover udgiver phishing-kampagner sig også som legitime regeringsenheder i Indien og USA, og omdirigerer brugere til falske domæner designet til at indsamle følsomme oplysninger. Disse stjålne data kan derefter bruges til fremtidige svindelnumre, phishing-e-mails, sprede misinformation eller distribuere malware.
AI Buzz blev også udnyttet i vildledende kampagner
Social engineering taktik har udnyttet stigningen i generativ kunstig intelligens (AI) til at skabe vildledende domæner, der efterligner OpenAI ChatGPT, hvilket letter forskellige usikre aktiviteter såsom phishing, greyware, ransomware og Command-and-Control (C2) operationer.
Et betydeligt antal af disse domæner udnytter populariteten af generativ AI ved at inkorporere søgeord som "GPT" eller "ChatGPT". Mere end en tredjedel af trafikken til disse nyligt registrerede domæner er blevet rettet mod mistænkelige websteder.
