UULoader-Malware
Cyberkriminelle verwenden eine neue Art von Malware namens UULoader, um schädliche Payloads zu verbreiten. Laut den Forschern, die diese Malware identifiziert haben, wird sie über beschädigte Installationsprogramme verbreitet, die sich als legitime Anwendungen ausgeben und in erster Linie auf Koreanisch- und Chinesischsprachige abzielen. Hinweise deuten darauf hin, dass UULoader möglicherweise von einem Chinesen entwickelt wurde, da in den in der DLL-Datei eingebetteten Programmdatenbankdateien (PDB) chinesische Zeichenfolgen gefunden wurden. Diese Malware wird genutzt, um nach der Kompromittierung Bedrohungen wie Gh0st RAT und Mimikatz zu verbreiten.
Die Kernkomponenten von UULoader sind in einem Microsoft Cabinet-Archiv (.cab) gepackt, das zwei Haupt-Ausführungsdateien (eine .exe und eine .dll) enthält, deren Dateikopfzeilen entfernt wurden.
Inhaltsverzeichnis
Bedrohungsakteure nutzen UULoader, um zusätzliche Malware zu verbreiten
Eine der ausführbaren Dateien ist eine legitime Binärdatei, die anfällig für DLL-Sideloading ist und zum Laden einer DLL-Datei ausgenutzt wird. Diese DLL löst letztendlich die letzte Stufe aus: eine verschleierte Datei namens „XamlHost.sys“, die Remote-Access-Tools wie Gh0st RAT oder den Mimikatz Credential Harvester enthält.
Die MSI-Installationsdatei enthält auch ein Visual Basic-Skript (.vbs), das die ausführbare Datei startet – beispielsweise Realtek – und in einigen UULoader-Beispielen wird eine Täuschungsdatei ausgeführt, um die Aufmerksamkeit abzulenken. Diese Täuschung stimmt normalerweise mit dem überein, was die MSI-Datei vorgibt zu sein. Wenn sich das Installationsprogramm beispielsweise als „Chrome-Update“ tarnt, ist die Täuschung ein echtes Chrome-Update.
Dies ist nicht das erste Mal, dass gefälschte Google Chrome-Installationsprogramme verwendet wurden, um Gh0st RAT zu verbreiten. Letzten Monat berichtete eSentire über eine Angriffskette, die auf chinesische Windows-Benutzer abzielte und eine gefälschte Google Chrome-Site verwendete, um den Remote-Access-Trojaner zu verteilen.
Betrüger und Cyberkriminelle nutzen zunehmend Krypto-Köder
In letzter Zeit wurde beobachtet, dass Bedrohungsakteure Tausende von Phishing-Sites mit Kryptowährungsthema erstellten, die auf Benutzer beliebter Krypto-Wallet-Dienste wie Coinbase, Exodus und MetaMask abzielten.
Diese böswilligen Akteure nutzen kostenlose Hosting-Plattformen wie Gitbook und Webflow, um Lockseiten auf den Subdomains von Typosquattern für Krypto-Wallets einzurichten. Diese betrügerischen Seiten locken Opfer mit Informationen über Krypto-Wallets und Download-Links, die zu betrügerischen URLs führen.
Diese URLs fungieren als Traffic Distribution System (TDS) und leiten Benutzer entweder zu Phishing-Inhalten oder, wenn das Tool den Besucher als Sicherheitsforscher identifiziert, zu harmlosen Seiten weiter.
Darüber hinaus gibt sich Phishing in Indien und den USA als legitime Regierungsstelle aus und leitet Benutzer auf gefälschte Domänen um, die darauf ausgelegt sind, vertrauliche Informationen abzugreifen. Diese gestohlenen Daten können dann für zukünftige Betrügereien, Phishing-E-Mails, die Verbreitung von Fehlinformationen oder die Verteilung von Malware verwendet werden.
KI-Buzz auch für irreführende Kampagnen genutzt
Social-Engineering-Taktiken nutzen den Anstieg der generativen künstlichen Intelligenz (KI), um irreführende Domänen zu erstellen, die OpenAI ChatGPT imitieren und so verschiedene unsichere Aktivitäten wie Phishing, Grayware, Ransomware und Command-and-Control (C2)-Operationen ermöglichen.
Eine beträchtliche Anzahl dieser Domänen nutzt die Popularität generativer KI aus, indem sie Schlüsselwörter wie „GPT“ oder „ChatGPT“ einbinden. Bemerkenswerterweise wurde über ein Drittel des Datenverkehrs zu diesen neu registrierten Domänen auf verdächtige Websites umgeleitet.
