UULoader Malware
Gumagamit ang mga cybercriminal ng bagong strain ng malware na kilala bilang UULoader para maghatid ng mga kasunod na mapaminsalang payload. Ayon sa mga mananaliksik na tumukoy sa malware na ito, kumakalat ito sa pamamagitan ng mga tiwaling installer na nagpapanggap bilang mga lehitimong aplikasyon, na pangunahing nagta-target sa mga nagsasalita ng Korean at Chinese. Iminumungkahi ng mga tagapagpahiwatig na ang UULoader ay maaaring binuo ng isang nagsasalita ng Tsino, dahil ang mga string ng Tsino ay natagpuan sa mga file ng database ng programa (PDB) na naka-embed sa loob ng DLL file. Ang malware na ito ay ginagamit upang mag-deploy ng mga banta pagkatapos ng kompromiso, gaya ng Gh0st RAT at Mimikatz .
Ang mga pangunahing bahagi ng UULoader ay naka-package sa loob ng archive ng Microsoft Cabinet (.cab), na naglalaman ng dalawang pangunahing executable (isang .exe at .dll) na tinanggal ang kanilang mga header ng file.
Talaan ng mga Nilalaman
Gumagamit ang Mga Aktor ng Banta ng UULoader para Maghatid ng Karagdagang Malware
Ang isa sa mga executable ay isang lehitimong binary vulnerable sa DLL side-loading, na pinagsamantalahan para mag-load ng DLL file. Ang DLL na ito sa huli ay nagti-trigger sa huling yugto: isang obfuscated na file na pinangalanang 'XamlHost.sys' na naglalaman ng mga remote access tool gaya ng Gh0st RAT o ang Mimikatz credential harvester.
Kasama rin sa MSI installer file ang isang Visual Basic Script (.vbs) na naglulunsad ng executable—gaya ng Realtek—at sa ilang sample ng UULoader, isang decoy file ang pinapatakbo para ilihis ang atensyon. Ang decoy na ito ay karaniwang nakaayon sa kung ano ang sinasabi ng .msi file. Halimbawa, kung nagpapanggap ang installer bilang isang 'Chrome update,' ang decoy ay magiging isang tunay na update ng Chrome.
Hindi ito ang unang pagkakataon na ginamit ang mga pekeng installer ng Google Chrome para mag-deploy ng Gh0st RAT. Noong nakaraang buwan, iniulat ng eSentire ang isang attack chain na nagta-target sa mga Chinese na user ng Windows, gamit ang isang pekeng site ng Google Chrome upang ipamahagi ang remote access trojan.
Pinapalakas ng mga Manloloko at Cybercriminal ang Paggamit ng Crypto-Themed Lure
Napagmasdan kamakailan ang mga aktor ng pagbabanta na lumilikha ng libu-libong mga site ng phishing na may temang cryptocurrency na nagta-target sa mga user ng mga sikat na serbisyo ng crypto-wallet tulad ng Coinbase, Exodus, at MetaMask.
Ang mga walang kabuluhang aktor na ito ay gumagamit ng mga libreng platform ng pagho-host gaya ng Gitbook at Webflow upang mag-set up ng mga site ng pang-akit sa mga subdomain ng crypto wallet typosquatter. Ang mga mapanlinlang na site na ito ay umaakit ng mga biktima gamit ang impormasyon tungkol sa mga crypto-wallet at mga link sa pag-download na humahantong sa mga mapanlinlang na URL.
Ang mga URL na ito ay gumagana bilang isang traffic distribution system (TDS), na nagre-redirect sa mga user sa phishing na nilalaman o, kung ang tool ay kinikilala ang bisita bilang isang security researcher, sa mga hindi nakakapinsalang page.
Bukod pa rito, nagpapanggap din ang mga kampanyang phishing bilang mga lehitimong entity ng pamahalaan sa India at US, na nagre-redirect sa mga user sa mga pekeng domain na idinisenyo upang kumuha ng sensitibong impormasyon. Magagamit ang ninakaw na data na ito para sa mga hinaharap na scam, phishing email, pagkalat ng maling impormasyon, o pamamahagi ng malware.
Pinagsamantalahan din ang AI Buzz sa Mga Mapanlinlang na Kampanya
Ang mga taktika ng social engineering ay nag-capitalize sa pagtaas ng generative artificial intelligence (AI) upang lumikha ng mga mapanlinlang na domain na ginagaya ang OpenAI ChatGPT, na nagpapadali sa iba't ibang hindi ligtas na aktibidad gaya ng phishing, grayware, ransomware, at Command-and-Control (C2) na mga operasyon.
Malaking bilang ng mga domain na ito ang nagsasamantala sa katanyagan ng generative AI sa pamamagitan ng pagsasama ng mga keyword tulad ng 'GPT' o 'ChatGPT.' Kapansin-pansin, higit sa isang katlo ng trapiko sa mga bagong rehistradong domain na ito ay nakadirekta sa mga kahina-hinalang site.
