Um novo tipo de malware chamado UULoader está sendo utilizado por agentes de ameaças para entregar payloads de próxima etapa, como o Gh0st RAT e o Mimikatz.
A equipe de pesquisa da Cyberint, que descobriu o malware, disse que ele é distribuído sob a forma de instaladores maliciosos para aplicações legítimas, visando falantes de coreano e chinês.
Há evidências apontando que o UULoader é obra de um falante de chinês devido à presença de strings chinesas nos arquivos de banco de programas (PDB) embutidos no arquivo DLL.
"Os arquivos ‘core’ do UULoader estão contidos em um arquivo de arquivo Microsoft Cabinet (.cab) que contém dois executáveis primários (um .exe e um .dll) que tiveram o cabeçalho do arquivo retirado", disse a empresa em um relatório técnico compartilhado.
Um dos executáveis é um binário legítimo que é suscetível ao DLL side-loading, que é utilizado para carregar de lado o arquivo DLL que finalmente carrega a etapa final, um arquivo ofuscado chamado "XamlHost.sys", que não é nada mais do que ferramentas de acesso remoto como o Gh0st RAT ou o coletor de credenciais Mimikatz.
Presente dentro do arquivo instalador MSI está um Script Visual Basic (.vbs) que é responsável por lançar o executável – por exemplo, Realtek – com algumas amostras do UULoader também executando um arquivo isca como um mecanismo de distração.
"Isso geralmente corresponde ao que o arquivo .msi está fingindo ser. Por exemplo, se ele tentar se disfarçar como uma 'atualização do Chrome', a isca será uma atualização legítima do Chrome," disse Cyberint.
Esta não é a primeira vez que instaladores falsos do Google Chrome levaram ao deployment do Gh0st RAT.
No mês passado, a eSentire detalhou uma cadeia de ataque direcionada a usuários do Windows chineses que empregou um site falso do Google Chrome para disseminar o trojan de acesso remoto.
O desenvolvimento vem enquanto agentes de ameaças foram observados criando milhares de sites de isca temáticos de criptomoeda usados para ataques de phishing que visam usuários de serviços populares de carteira de criptomoeda como Coinbase, Exodus e MetaMask, entre outros.
"Esses atores estão usando serviços de hospedagem gratuitos como Gitbook e Webflow para criar sites de isca em subdomínios typosquatter de carteira crypto", disse a Symantec, de propriedade da Broadcom.
Esses sites atraem vítimas potenciais com informações sobre carteiras de criptomoedas e links para download que na verdade levam para URLs maliciosas. Estas URLs servem como um sistema de distribuição de tráfego (TDS) redirecionando usuários para conteúdo de phishing ou para algumas páginas inócuas se a ferramenta determinar o visitante como um pesquisador de segurança.
Campanhas de phishing também têm se disfarçado como entidades governamentais legítimas na Índia e nos EUA para redirecionar usuários para domínios falsos que coletam informações sensíveis, que podem ser utilizadas em operações futuras para mais golpes, envio de e-mails de phishing, disseminação de desinformação/misinformatção ou distribuição de malware.
Alguns desses ataques são notáveis pelo abuso da plataforma Dynamics 365 Marketing da Microsoft para criar subdomínios e enviar e-mails de phishing, conseguindo assim passar pelos filtros de e-mail.
Esses ataques foram apelidados de Uncle Scam devido ao fato de que esses e-mails se passam pela U.S. General Services Administration (GSA).
Esforços de engenharia social têm se aproveitado ainda mais da popularidade da onda de inteligência artificial (AI) generativa para configurar domínios de golpes imitando o OpenAI ChatGPT para proliferar atividades suspeitas e maliciosas, incluindo phishing, grayware, ransomware e comando e controle (C2).
"Notavelmente, mais de 72% dos domínios se associam a aplicações populares de GenAI incluindo palavras-chave como gpt ou chatgpt", disse a Palo Alto Networks Unit 42 em uma análise no mês passado.
De todo o tráfego em direção a esses [domínios recém-registrados], 35% foram direcionados a domínios suspeitos.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...