Um novo tipo de malware chamado UULoader está sendo usado por agentes de ameaças para entregar cargas úteis de próximo nível, como Gh0st RAT e Mimikatz.
A equipe da Cyberint Research, que descobriu o malware, disse que ele estava sendo distribuído por meio de instaladores maliciosos de aplicativos legítimos direcionados a falantes de coreano e chinês.
Há evidências que sugerem que UULoader é um jogo de plataforma chinês devido à presença de strings chinesas nos arquivos de banco de dados do programa (PDB) incorporados ao arquivo DLL.
“Os arquivos ‘principais’ do UULoader estão contidos em um arquivo Microsoft Cabinet (.cab) que contém dois executáveis principais (.exe e .dll) retirados do cabeçalho do arquivo”, disse a empresa em um relatório técnico compartilhado. Notícias sobre hackers.
Uma das explorações é um binário legítimo que pode facilmente fazer o sideload de uma DLL, que é usado para fazer o sideload de um arquivo DLL que acaba carregando o último estágio, um arquivo obscuro chamado “XamlHost.sys” que nada mais é do que ferramentas de acesso remoto como o Rato fantasma. ou colheitadeira de confirmação Mimikatz.
Contido no arquivo do instalador MSI está um script Visual Basic (.vbs) responsável por iniciar o executável – por exemplo, Realtek – e outros exemplos do UULoader que usam o arquivo chamariz como chamariz.
“Isso geralmente é consistente com o que o arquivo .msi finge ser”, disse Cyberint. “Por exemplo, se tentar se disfarçar como uma ‘atualização do Chrome’, a falsificação será uma atualização real e legítima do Chrome.”
Esta não é a primeira vez que instaladores falsos do Google Chrome levam ao uso do Gh0st RAT. No mês passado, a eSentire detalhou uma série de ataques direcionados a usuários do Windows na China que usaram um site falso do Google Chrome para distribuir um trojan de acesso remoto.
O desenvolvimento ocorre no momento em que atores maliciosos foram detectados criando milhares de sites de phishing com tema de criptomoeda usados para ataques de phishing direcionados a usuários de serviços populares de criptomoeda, como Coinbase, Exodus e MetaMask, entre outros.
“Esses atores usam serviços de hospedagem gratuitos, como Gitbook e Webflow, para criar sites que atraem typosquatters de carteiras criptografadas”, disse a Symantec, de propriedade da Broadcom. “Esses sites atraem vítimas em potencial com informações sobre carteiras criptografadas e links para download que na verdade levam a URLs maliciosos”.
Esses URLs atuam como um sistema de distribuição de tráfego (TDS) que redireciona os usuários para conteúdo de phishing ou outras páginas inocentes se a ferramenta determinar que o visitante é um pesquisador de segurança.
As campanhas de phishing também têm se feito passar por agências governamentais legítimas na Índia e nos EUA para redirecionar usuários para domínios falsos que coletam informações confidenciais, que podem ser usadas no futuro para novos golpes, envio de e-mails de phishing, disseminação de spam/desinformação verdadeira ou disseminação de malware.
Alguns desses ataques são notáveis por explorar a plataforma Dynamics 365 Marketing da Microsoft para criar subdomínios e enviar e-mails de phishing, passando assim por filtros de e-mail. O ataque recebeu o codinome Uncle Scam porque os e-mails se faziam passar pela Administração de Serviços Gerais dos EUA (GSA).
Os esforços de engenharia social também aproveitaram a crescente popularidade da inteligência artificial (IA) para configurar domínios fraudulentos que imitam o OpenAI ChatGPT para aumentar atividades suspeitas e maliciosas, incluindo phishing, grayware, ransomware e comando e controle (C2).
“Surpreendentemente, mais de 72% dos domínios se associam a aplicativos GenAI populares, incluindo palavras-chave como gpt ou chatgpt”, disse a Unidade 42 da Palo Alto Networks em uma análise no mês passado. “Entre todos os carros que vão para esses [newly registered domains]35% foram direcionados para domínios suspeitos.”
