Los malos actores utilizan un nuevo tipo de malware llamado UULoader para entregar cargas útiles de nivel superior, como Gh0st RAT y Mimiquitas.
El equipo de investigación de Cyberint, que descubrió el malware, dijo que se distribuía como instaladores maliciosos para aplicaciones legítimas dirigidas a hablantes de coreano y chino.
Existe evidencia de que UULoader es obra de un hablante de chino debido a la presencia de cadenas chinas en los archivos de la base de datos del programa (PDB) incrustados en el archivo DLL.
«Los archivos ‘principales’ de UULoader están contenidos en un archivo Microsoft Cabinet (.cab) que contiene dos ejecutables principales (un .exe y un .dll) sin el encabezado del archivo», dijo la compañía. dicho en un informe técnico compartido con The Hacker News.
Uno de los ejecutables es un binario legítimo susceptible a la carga lateral de DLL, que se utiliza para cargar el archivo DLL que finalmente carga la etapa final, un archivo de ofuscación llamado «XamlHost.sys» que no es más que una herramienta de acceso remoto como Gh0st. RAT o el recolector de credenciales Mimikatz.
El archivo de instalación MSI contiene un script de Visual Basic (.vbs) responsable de iniciar el ejecutable (por ejemplo, Realtek) con algunos ejemplos de UULoader que también ejecutan un archivo señuelo como mecanismo de distracción.
«Esto es generalmente lo que dice ser el archivo .msi», dijo Cyberint. “Por ejemplo, si intenta hacerse pasar por una ‘actualización de Chrome’, el señuelo será una actualización de Chrome real y legítima. »
Esta no es la primera vez que instaladores ficticios de Google Chrome conducen a la implementación de Gh0st RAT. El mes pasado, eSentire describió una cadena de ataque dirigida a usuarios chinos de Windows que utilizaron un sitio falso de Google Chrome para difundir el troyano de acceso remoto.
El desarrollo se produce cuando se ha observado que actores maliciosos crean miles de sitios señuelo con temas de criptomonedas, utilizados para ataques de phishing dirigidos a usuarios de servicios populares de billeteras de criptomonedas como Coinbase, Exodus y MetaMask, entre otros.
«Estos actores utilizan servicios de alojamiento gratuitos como Gitbook y Webflow para crear sitios señuelo en subdominios de carteras criptográficas que utilizan errores tipográficos», dijo Symantec, propiedad de Broadcom. dicho“Estos sitios atraen a víctimas potenciales con información sobre billeteras de criptomonedas y enlaces de descarga que en realidad conducen a URL maliciosas. »
Estas URL sirven como un sistema de distribución de tráfico (TDS) que redirige a los usuarios a contenido de phishing o páginas inofensivas si la herramienta determina que el visitante es un investigador de seguridad.
También se han realizado campañas de phishing. mascarada como entidades gubernamentales legítimas en India y Estados Unidos para redirigir a los usuarios a dominios falsos que recopilan información confidencial, que puede ser explotada en operaciones futuras para otras estafas, enviando correos electrónicos de phishing, difundiendo desinformación o distribución de malware.
Algunos de estos ataques se caracterizan por el uso indebido de la plataforma Dynamics 365 Marketing de Microsoft para crear subdominios y enviar correos electrónicos de phishing, evadiendo así los filtros de correo electrónico. Estos ataques fueron llamados estafa del tio ya que estos correos electrónicos se hacen pasar por la Administración de Servicios Generales de los Estados Unidos (GSA).
Los esfuerzos de ingeniería social han capitalizado aún más la popularidad de la ola de inteligencia artificial (IA) generativa para configurar dominios fraudulentos que imitan OpenAI ChatGPT para proliferar actividades sospechosas y maliciosas, incluido phishing, grayware, ransomware y comando y control (C2).
«Sorprendentemente, más del 72% de los dominios se asocian con aplicaciones GenAI populares al incluir palabras clave como gpt o chatgpt», Unidad 42 de Palo Alto Networks. dicho en un análisis el mes pasado. “Entre todo el tráfico hacia estos [newly registered domains]El 35% fueron dirigidos a dominios sospechosos.
