UULader-haittaohjelma
Kyberrikolliset käyttävät uutta UULoader-nimistä haittaohjelmakantaa myöhempien haitallisten hyötykuormien toimittamiseen. Tämän haittaohjelman tunnistaneiden tutkijoiden mukaan se leviää vioittuneiden asentajien kautta, jotka esiintyvät laillisina sovelluksina ja jotka on suunnattu ensisijaisesti koreaa ja kiinaa puhuville. Indikaattorit viittaavat siihen, että UULoader on saattanut olla kiinan puhujan kehittämä, koska kiinalaisia merkkijonoja on löydetty DLL-tiedostoon upotetuista ohjelmatietokantatiedostoista (PDB). Tätä haittaohjelmaa hyödynnetään ottamaan käyttöön kompromissin jälkeisiä uhkia, kuten Gh0st RAT ja Mimikatz .
UULoaderin ydinkomponentit on pakattu Microsoft Cabinet (.cab) -arkistoon, joka sisältää kaksi pääasiallista suoritettavaa tiedostoa (.exe ja .dll), joiden tiedostojen otsikot on poistettu.
Sisällysluettelo
Uhkatoimijat käyttävät UULoader-ohjelmaa lisähaittaohjelmien toimittamiseen
Yksi suoritettavista tiedostoista on laillinen binaari, joka on alttiina DLL-sivulataukselle, jota käytetään hyväksi DLL-tiedoston lataamiseen. Tämä DLL laukaisee lopulta viimeisen vaiheen: hämärän tiedoston nimeltä "XamlHost.sys", joka sisältää etäkäyttötyökaluja, kuten Gh0st RAT tai Mimikatz-tunnistetietojen kerääjä.
MSI-asennustiedosto sisältää myös Visual Basic Scriptin (.vbs), joka käynnistää suoritettavan tiedoston, kuten Realtekin, ja joissakin UULoader-näytteissä ajetaan houkutustiedosto ohjatakseen huomion. Tämä houkutus on yleensä linjassa sen kanssa, mitä .msi-tiedosto väittää olevansa. Jos asennusohjelma esimerkiksi naamioituu "Chrome-päivitykseksi", houkutus on aito Chrome-päivitys.
Tämä ei ole ensimmäinen kerta, kun väärennettyjä Google Chrome -asennusohjelmia on käytetty Gh0st RAT:n käyttöönottoon. Viime kuussa eSentire raportoi hyökkäysketjusta, joka kohdistui kiinalaisiin Windows-käyttäjiin käyttämällä väärennettyä Google Chrome -sivustoa etäkäyttötroijalaisen levittämiseen.
Huijarit ja kyberrikolliset lisäävät kryptoteemaisten vieheiden käyttöä
Uhkatoimijoiden on viime aikoina havaittu luovan tuhansia kryptovaluutta-aiheisia tietojenkalastelusivustoja, jotka on kohdistettu suosittujen kryptolompakkopalvelujen, kuten Coinbase, Exodus ja MetaMask, käyttäjille.
Nämä huonosti ajattelevat toimijat hyödyntävät ilmaisia isännöintialustoja, kuten Gitbook ja Webflow, perustaakseen houkutussivustoja kryptolompakoiden typosquatter-aliverkkotunnuksiin. Nämä petolliset sivustot houkuttelevat uhreja salauslompakoita koskevilla tiedoilla ja latauslinkeillä, jotka johtavat petollisiin URL-osoitteisiin.
Nämä URL-osoitteet toimivat liikenteen jakelujärjestelmänä (TDS), joka ohjaa käyttäjät joko tietojenkalastelusisältöön tai, jos työkalu tunnistaa vierailijan tietoturvatutkijaksi, vaarattomille sivuille.
Lisäksi tietojenkalastelukampanjat esiintyvät myös Intian ja Yhdysvaltojen laillisina valtion yksiköinä, jotka ohjaavat käyttäjät väärennetyille verkkotunnuksille, jotka on suunniteltu keräämään arkaluonteisia tietoja. Näitä varastettuja tietoja voidaan sitten käyttää tuleviin huijauksiin, tietojenkalasteluviesteihin, väärän tiedon levittämiseen tai haittaohjelmien levittämiseen.
AI Buzzia hyödynnetään myös harhaanjohtavissa kampanjoissa
Sosiaalisen suunnittelun taktiikat ovat hyödyntäneet generatiivisen tekoälyn (AI) nousua luodakseen harhaanjohtavia verkkotunnuksia, jotka jäljittelevät OpenAI ChatGPT:tä, mikä helpottaa useita vaarallisia toimintoja, kuten tietojenkalastelu-, harmaasävy-, kiristys- ja komento- ja ohjaustoimintoja (C2).
Huomattava osa näistä verkkotunnuksista hyödyntää generatiivisen tekoälyn suosiota sisällyttämällä siihen avainsanoja, kuten "GPT" tai "ChatGPT". On huomattava, että yli kolmasosa näiden äskettäin rekisteröityjen verkkotunnusten liikenteestä on ohjattu epäilyttäville sivustoille.
