Phần mềm độc hại UULoader mới phân phối Gh0st RAT và Mimikatz ở Đông Á

Tác giả ChatGPT, T.Tám 20, 2024, 08:29:46 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một loại phần mềm độc hại mới có tên UULoader đang được các tác nhân đe dọa sử dụng để cung cấp các tải trọng giai đoạn tiếp theo như Gh0st RAT và Mimikatz.

Nhóm nghiên cứu Cyberint, nơi phát hiện ra phần mềm độc hại, cho biết nó được phân phối dưới dạng trình cài đặt độc hại cho các ứng dụng hợp pháp nhắm mục tiêu đến người nói tiếng Hàn và tiếng Trung.


Có bằng chứng chỉ ra rằng UULoader là tác phẩm của một người nói tiếng Trung Quốc do sự hiện diện của các chuỗi tiếng Trung trong các tệp cơ sở dữ liệu chương trình (PDB) được nhúng trong tệp DLL.

"Các tệp 'lõi' của UULoader được chứa trong tệp lưu trữ Nội các Microsoft (.cab) chứa hai tệp thực thi chính (.exe và.dll) đã bị xóa tiêu đề tệp", công ty cho biết trong một báo cáo kỹ thuật được chia sẻ với Tin tức về hacker.

Một trong những tệp thực thi là tệp nhị phân hợp pháp dễ bị tải phụ DLL, được sử dụng để tải tệp DLL cuối cùng tải giai đoạn cuối, một tệp làm xáo trộn có tên "XamlHost.sys" không gì khác ngoài các công cụ truy cập từ xa như Gh0st RAT hoặc công cụ thu thập thông tin xác thực Mimikatz.

Có trong tệp trình cài đặt MSI là Visual Basic Script (.vbs) chịu trách nhiệm khởi chạy tệp thực thi – ví dụ: Realtek – với một số mẫu UULoader cũng chạy tệp mồi nhử như một cơ chế gây phân tâm.

Cyberint cho biết: "Điều này thường tương ứng với những gì tệp.msi đang giả vờ". "Ví dụ: nếu nó cố ngụy trang dưới dạng 'bản cập nhật Chrome', thì mồi nhử sẽ là một bản cập nhật hợp pháp thực sự cho Chrome."

Đây không phải là lần đầu tiên những trình cài đặt Google Chrome giả mạo dẫn đến việc triển khai Gh0st RAT. Tháng trước, eSentire đã trình bày chi tiết về một chuỗi tấn công nhắm vào người dùng Windows Trung Quốc sử dụng trang web Google Chrome giả mạo để phát tán trojan truy cập từ xa.

Sự phát triển này diễn ra khi các tác nhân đe dọa được quan sát thấy đã tạo ra hàng nghìn trang web thu hút có chủ đề tiền điện tử được sử dụng cho các cuộc tấn công lừa đảo nhắm mục tiêu vào người dùng các dịch vụ ví tiền điện tử phổ biến như Coinbase, Exodus và MetaMask, cùng nhiều dịch vụ khác.


Symantec thuộc sở hữu của Broadcom cho biết : "Những kẻ tấn công này đang sử dụng các dịch vụ lưu trữ miễn phí như Gitbook và Webflow để tạo các trang web thu hút trên các tên miền phụ đánh máy của ví tiền điện tử". "Các trang web này thu hút nạn nhân tiềm năng bằng thông tin về ví tiền điện tử và các liên kết tải xuống thực sự dẫn đến các URL độc hại."

Các URL này đóng vai trò như một hệ thống phân phối lưu lượng truy cập (TDS) chuyển hướng người dùng đến nội dung lừa đảo hoặc đến một số trang vô hại nếu công cụ xác định khách truy cập là nhà nghiên cứu bảo mật.

Các chiến dịch lừa đảo cũng đã giả dạng các tổ chức chính phủ hợp pháp ở Ấn Độ và Hoa Kỳ để chuyển hướng người dùng đến các miền giả mạo thu thập thông tin nhạy cảm. Thông tin này có thể bị lợi dụng trong các hoạt động lừa đảo trong tương lai, gửi email lừa đảo, phát tán thông tin sai lệch/thông tin sai lệch hoặc phát tán phần mềm độc hại.

Một số cuộc tấn công này đáng chú ý là việc lạm dụng nền tảng Dynamics 365 Marketing của Microsoft để tạo tên miền phụ và gửi email lừa đảo, từ đó lọt qua bộ lọc email. Những cuộc tấn công này được đặt tên mã là Uncle Scam do thực tế là những email này mạo danh Cơ quan Quản lý Dịch vụ Tổng hợp Hoa Kỳ (GSA).

Các nỗ lực kỹ thuật xã hội đã kiếm được nhiều tiền hơn nhờ sự phổ biến của làn sóng trí tuệ nhân tạo (AI) để thiết lập các miền lừa đảo bắt chước OpenAI ChatGPT nhằm phát triển các hoạt động đáng ngờ và độc hại, bao gồm lừa đảo, phần mềm xám, phần mềm tống tiền và lệnh và kiểm soát (C2).

"Đáng chú ý, hơn 72% tên miền liên kết với các ứng dụng GenAI phổ biến bằng cách bao gồm các từ khóa như gpt hoặc chatgpt," Đơn vị 42 của Palo Alto Networks cho biết trong một phân tích vào tháng trước. "Trong số tất cả lưu lượng truy cập tới [các miền mới đăng ký] này, 35% được chuyển hướng tới các miền đáng ngờ."