Malware UULoader
Los cibercriminales están utilizando una nueva cepa de malware conocida como UULoader para distribuir posteriormente cargas útiles dañinas. Según los investigadores que identificaron este malware, se propaga a través de instaladores corruptos que se hacen pasar por aplicaciones legítimas, y que están dirigidos principalmente a hablantes de coreano y chino. Los indicadores sugieren que UULoader puede haber sido desarrollado por un hablante de chino, ya que se han encontrado cadenas chinas en los archivos de la base de datos del programa (PDB) incrustados en el archivo DLL. Este malware se está aprovechando para implementar amenazas posteriores al ataque, como Gh0st RAT y Mimikatz .
Los componentes principales de UULoader están empaquetados dentro de un archivo Microsoft Cabinet (.cab), que contiene dos ejecutables principales (un .exe y un .dll) a los que se les han eliminado los encabezados de archivo.
Tabla de contenido
Los actores de amenazas utilizan UULoader para distribuir malware adicional
Uno de los ejecutables es un binario legítimo vulnerable a la carga lateral de DLL, que se aprovecha para cargar un archivo DLL. Esta DLL desencadena finalmente la etapa final: un archivo ofuscado llamado 'XamlHost.sys' que contiene herramientas de acceso remoto como Gh0st RAT o el recolector de credenciales Mimikatz.
El archivo de instalación MSI también incluye un script de Visual Basic (.vbs) que inicia el ejecutable (como Realtek) y, en algunos ejemplos de UULoader, se ejecuta un archivo señuelo para desviar la atención. Este señuelo suele coincidir con lo que dice ser el archivo .msi. Por ejemplo, si el instalador se hace pasar por una "actualización de Chrome", el señuelo será una actualización genuina de Chrome.
No es la primera vez que se utilizan instaladores falsos de Google Chrome para implementar Gh0st RAT. El mes pasado, eSentire informó sobre una cadena de ataques dirigida a usuarios chinos de Windows, que utilizaban un sitio falso de Google Chrome para distribuir el troyano de acceso remoto.
Los estafadores y los cibercriminales aumentan el uso de señuelos con temática criptográfica
Recientemente se ha observado que actores de amenazas crean miles de sitios de phishing con temática de criptomonedas dirigidos a usuarios de servicios de billeteras criptográficas populares como Coinbase, Exodus y MetaMask.
Estos actores malintencionados están aprovechando plataformas de alojamiento gratuito como Gitbook y Webflow para crear sitios engañosos en subdominios de monederos de criptomonedas. Estos sitios engañosos atraen a las víctimas con información sobre monederos de criptomonedas y enlaces de descarga que conducen a URL fraudulentas.
Estas URL funcionan como un sistema de distribución de tráfico (TDS), redirigiendo a los usuarios a contenido de phishing o, si la herramienta identifica al visitante como un investigador de seguridad, a páginas inofensivas.
Además, las campañas de phishing también se hacen pasar por entidades gubernamentales legítimas en India y Estados Unidos y redirigen a los usuarios a dominios falsos diseñados para recopilar información confidencial. Estos datos robados pueden utilizarse para futuras estafas, correos electrónicos de phishing, difusión de información errónea o distribución de malware.
AI Buzz también se utiliza en campañas engañosas
Las tácticas de ingeniería social han aprovechado el auge de la inteligencia artificial (IA) generativa para crear dominios engañosos que imitan a OpenAI ChatGPT, facilitando diversas actividades inseguras como phishing, grayware, ransomware y operaciones de comando y control (C2).
Una cantidad significativa de estos dominios aprovecha la popularidad de la IA generativa al incorporar palabras clave como "GPT" o "ChatGPT". Cabe destacar que más de un tercio del tráfico hacia estos dominios recién registrados se ha dirigido a sitios sospechosos.
