UULoader Malware
Infractorii cibernetici folosesc o nouă tulpină de malware cunoscută sub numele de UULoader pentru a furniza încărcături utile ulterioare dăunătoare. Potrivit cercetătorilor care au identificat acest malware, acesta este răspândit prin instalatori corupti care se prezintă drept aplicații legitime, vizând în primul rând vorbitorii de coreeană și chineză. Indicatorii sugerează că UULoader ar fi putut fi dezvoltat de un vorbitor de chineză, deoarece șirurile de caractere chinezești au fost găsite în fișierele de bază de date a programelor (PDB) încorporate în fișierul DLL. Acest malware este folosit pentru a implementa amenințări post-compromis, cum ar fi Gh0st RAT și Mimikatz .
Componentele de bază ale UULoader sunt împachetate într-o arhivă Microsoft Cabinet (.cab), care conține două executabile principale (un .exe și un .dll) cărora li s-au eliminat antetele fișierelor.
Cuprins
Actorii amenințărilor utilizează UULoader pentru a furniza programe malware suplimentare
Unul dintre executabile este un binar legitim vulnerabil la încărcarea secundară a DLL, care este exploatat pentru a încărca un fișier DLL. Acest DLL declanșează în cele din urmă etapa finală: un fișier ofuscat numit „XamlHost.sys” care conține instrumente de acces la distanță, cum ar fi Gh0st RAT sau recoltatorul de acreditări Mimikatz.
Fișierul de instalare MSI include, de asemenea, un Script Visual Basic (.vbs) care lansează executabilul, cum ar fi Realtek, iar în unele mostre UULoader este rulat un fișier momeală pentru a distrage atenția. Această momeală se aliniază de obicei cu ceea ce susține fișierul .msi. De exemplu, dacă programul de instalare se preface ca o „actualizare Chrome”, momeala va fi o actualizare Chrome autentică.
Aceasta nu este prima dată când programele de instalare Google Chrome false sunt folosite pentru a implementa Gh0st RAT. Luna trecută, eSentire a raportat un lanț de atac care vizează utilizatorii chinezi de Windows, folosind un site fals Google Chrome pentru a distribui troianul de acces la distanță.
Escrocii și criminalii cibernetici intensifică utilizarea momelilor cu tematică cripto
Actorii amenințărilor au fost observați recent creând mii de site-uri de phishing cu tematică criptomonedă care vizează utilizatorii serviciilor populare de cripto-portofel precum Coinbase, Exodus și MetaMask.
Acești actori prost se folosesc de platforme de găzduire gratuite, cum ar fi Gitbook și Webflow, pentru a crea site-uri de atracție pe subdomenii de tip typosquatter de portofel cripto. Aceste site-uri înșelătoare atrag victimele cu informații despre cripto-portofele și link-uri de descărcare care duc la adrese URL frauduloase.
Aceste adrese URL funcționează ca un sistem de distribuție a traficului (TDS), redirecționând utilizatorii fie către conținut de phishing, fie, dacă instrumentul identifică vizitatorul ca cercetător de securitate, către pagini inofensive.
În plus, campaniile de phishing se prezintă, de asemenea, drept entități guvernamentale legitime în India și SUA, redirecționând utilizatorii către domenii false concepute pentru a colecta informații sensibile. Aceste date furate pot fi apoi folosite pentru viitoare escrocherii, e-mailuri de phishing, răspândirea de informații greșite sau distribuirea de programe malware.
AI Buzz a fost exploatat și în campanii înșelătoare
Tacticile de inginerie socială au valorificat creșterea inteligenței artificiale generative (AI) pentru a crea domenii înșelătoare care imită OpenAI ChatGPT, facilitând diverse activități nesigure, cum ar fi phishing, grayware, ransomware și operațiuni de comandă și control (C2).
Un număr semnificativ dintre aceste domenii exploatează popularitatea IA generativă prin încorporarea cuvintelor cheie precum „GPT” sau „ChatGPT”. În special, peste o treime din traficul către aceste domenii nou înregistrate a fost direcționat către site-uri suspecte.
