Phần mềm độc hại UULoader
Tội phạm mạng đang sử dụng một loại phần mềm độc hại mới được gọi là UULoader để phân phối các tải trọng có hại tiếp theo. Theo các nhà nghiên cứu đã xác định phần mềm độc hại này, nó lây lan thông qua các trình cài đặt bị hỏng đóng giả là các ứng dụng hợp pháp, chủ yếu nhắm vào người nói tiếng Hàn và tiếng Trung. Các chỉ số cho thấy UULoader có thể đã được phát triển bởi một người nói tiếng Trung, vì các chuỗi tiếng Trung đã được tìm thấy trong các tệp cơ sở dữ liệu chương trình (PDB) được nhúng trong tệp DLL. Phần mềm độc hại này đang được sử dụng để triển khai các mối đe dọa sau khi xâm phạm, chẳng hạn như Gh0st RAT và Mimikatz .
Các thành phần cốt lõi của UULoader được đóng gói trong kho lưu trữ Microsoft Cabinet (.cab), chứa hai tệp thực thi chính (một tệp .exe và một tệp .dll) đã bị xóa tiêu đề tệp.
Mục lục
Các tác nhân đe dọa sử dụng UULoader để phân phối phần mềm độc hại bổ sung
Một trong những tệp thực thi là tệp nhị phân hợp lệ dễ bị tấn công bởi DLL side-loading, được khai thác để tải tệp DLL. DLL này cuối cùng sẽ kích hoạt giai đoạn cuối cùng: một tệp được mã hóa có tên 'XamlHost.sys' chứa các công cụ truy cập từ xa như Gh0st RAT hoặc trình thu thập thông tin xác thực Mimikatz.
Tệp cài đặt MSI cũng bao gồm một Visual Basic Script (.vbs) khởi chạy tệp thực thi—chẳng hạn như Realtek—và trong một số mẫu UULoader, một tệp mồi nhử được chạy để đánh lạc hướng sự chú ý. Mồi nhử này thường phù hợp với những gì tệp .msi tuyên bố. Ví dụ, nếu trình cài đặt ngụy trang thành 'bản cập nhật Chrome', mồi nhử sẽ là bản cập nhật Chrome chính hãng.
Đây không phải là lần đầu tiên trình cài đặt Google Chrome giả mạo được sử dụng để triển khai Gh0st RAT. Tháng trước, eSentire đã báo cáo một chuỗi tấn công nhắm vào người dùng Windows Trung Quốc, sử dụng một trang web Google Chrome giả mạo để phân phối trojan truy cập từ xa.
Những kẻ lừa đảo và tội phạm mạng gia tăng việc sử dụng các mồi nhử có chủ đề về tiền điện tử
Gần đây, người ta phát hiện các tác nhân đe dọa tạo ra hàng nghìn trang web lừa đảo có chủ đề về tiền điện tử nhắm vào người dùng các dịch vụ ví tiền điện tử phổ biến như Coinbase, Exodus và MetaMask.
Những kẻ xấu này đang tận dụng các nền tảng lưu trữ miễn phí như Gitbook và Webflow để thiết lập các trang web thu hút trên các tên miền phụ của crypto wallet typosquatter. Các trang web lừa đảo này thu hút nạn nhân bằng thông tin về ví tiền điện tử và các liên kết tải xuống dẫn đến các URL gian lận.
Các URL này hoạt động như một hệ thống phân phối lưu lượng truy cập (TDS), chuyển hướng người dùng đến nội dung lừa đảo hoặc đến các trang vô hại nếu công cụ xác định người truy cập là nhà nghiên cứu bảo mật.
Ngoài ra, các chiến dịch lừa đảo cũng đóng giả là các thực thể chính phủ hợp pháp ở Ấn Độ và Hoa Kỳ, chuyển hướng người dùng đến các tên miền giả được thiết kế để thu thập thông tin nhạy cảm. Dữ liệu bị đánh cắp này sau đó có thể được sử dụng cho các vụ lừa đảo trong tương lai, email lừa đảo, phát tán thông tin sai lệch hoặc phân phối phần mềm độc hại.
AI Buzz cũng bị khai thác trong các chiến dịch gây hiểu lầm
Các chiến thuật kỹ thuật xã hội đã tận dụng sự gia tăng của trí tuệ nhân tạo (AI) để tạo ra các tên miền gây hiểu lầm bắt chước OpenAI ChatGPT, tạo điều kiện cho nhiều hoạt động không an toàn như lừa đảo, phần mềm độc hại, phần mềm tống tiền và hoạt động Chỉ huy và Kiểm soát (C2).
Một số lượng đáng kể các tên miền này khai thác sự phổ biến của AI tạo sinh bằng cách kết hợp các từ khóa như 'GPT' hoặc 'ChatGPT'. Đáng chú ý, hơn một phần ba lưu lượng truy cập vào các tên miền mới đăng ký này được chuyển hướng đến các trang web đáng ngờ.
