威胁行为者正在使用一种名为 UULoader 的新型恶意软件来提供下一阶段的有效载荷,例如 Gh0st RAT 和 Mimikatz。
发现该恶意软件的 Cyberint 研究团队表示,它以恶意安装程序的形式分发,用于针对韩语和中文使用者的合法应用程序。
有证据表明,由于 DLL 文件中嵌入的程序数据库 (PDB) 文件中存在中文字符串,因此 UULoader 是中文使用者的作品。
该公司在与The Hacker News分享的一份技术报告中表示:“UULoader的’核心’文件包含在Microsoft内阁档案(.cab)文件中,该文件包含两个主要可执行文件(一个.exe和一个.dll),它们的文件头已被剥离。
其中一个可执行文件是一个合法的二进制文件,容易受到 DLL 侧加载的影响,它用于侧加载最终加载最后阶段的 DLL 文件,一个名为“XamlHost.sys”的混淆文件,它只不过是远程访问工具,例如 Gh0st RAT 或 Mimikatz 凭据收集器。
MSI 安装程序文件中存在一个 Visual Basic 脚本 (.vbs),它负责启动可执行文件(例如 Realtek),一些 UULoader 示例还运行诱饵文件作为分散注意力的机制。
“这通常对应于.msi文件假装的内容,”Cyberint 说。“例如,如果它试图将自己伪装成’Chrome更新’,那么诱饵将是Chrome的实际合法更新。
这不是第一次伪造的 Google Chrome 安装程序导致 Gh0st RAT 的部署。上个月,eSentire 详细介绍了针对中国 Windows 用户的攻击链,该用户使用虚假的 Google Chrome 网站来传播远程访问木马。
这一发展正值观察到威胁行为者创建了数千个以加密货币为主题的诱饵网站,用于网络钓鱼攻击,这些网站针对流行的加密货币钱包服务(如 Coinbase、Exodus 和 MetaMask 等)的用户。
“这些参与者正在使用Gitbook和Webflow等免费托管服务在加密钱包拼写错误子域上创建诱饵网站,”博通旗下的赛门铁克说。“这些网站用有关加密钱包的信息引诱潜在的受害者,并下载实际上导致恶意URL的链接。”
这些 URL 充当流量分配系统 (TDS),如果工具确定访问者是安全研究人员,则将用户重定向到网络钓鱼内容或一些无害的页面。
在印度和美国,网络钓鱼活动还伪装成合法的政府实体,将用户重定向到收集敏感信息的虚假域,这些信息可以在未来的操作中用于进一步的诈骗、发送网络钓鱼电子邮件、传播虚假信息/错误信息或分发恶意软件。
其中一些攻击值得注意的是,滥用 Microsoft 的 Dynamics 365 Marketing 平台来创建子域并发送网络钓鱼电子邮件,从而绕过电子邮件过滤器。这些攻击的代号为“叔叔骗局”,因为这些电子邮件冒充美国总务管理局 (GSA)。
社会工程工作进一步利用生成式人工智能 (AI) 浪潮的流行获利,以设置模仿 OpenAI ChatGPT 的诈骗域,以激增可疑和恶意活动,包括网络钓鱼、灰色软件、勒索软件和命令与控制 (C2)。
“值得注意的是,超过 72% 的域名通过包含 gpt 或 chatgpt 等关键字将自己与流行的 GenAI 应用程序相关联,”Palo Alto Networks Unit 42 在上个月的一份分析中表示。“在这些[新注册域名]的所有流量中,35%是针对可疑域名的。
发表评论
您还未登录,请先登录。
登录