Logiciel malveillant UULoader
Les cybercriminels utilisent une nouvelle souche de malware appelée UULoader pour diffuser des charges utiles nuisibles ultérieures. Selon les chercheurs qui ont identifié ce malware, il se propage via des installateurs corrompus se faisant passer pour des applications légitimes, ciblant principalement les locuteurs coréens et chinois. Des indicateurs suggèrent qu'UULoader a peut-être été développé par un locuteur chinois, car des chaînes chinoises ont été trouvées dans les fichiers de base de données du programme (PDB) intégrés au fichier DLL. Ce malware est utilisé pour déployer des menaces post-compromission, telles que Gh0st RAT et Mimikatz .
Les composants principaux d'UULoader sont regroupés dans une archive Microsoft Cabinet (.cab), contenant deux exécutables principaux (un .exe et un .dll) dont les en-têtes de fichiers ont été supprimés.
Table des matières
Les acteurs de la menace utilisent UULoader pour diffuser des logiciels malveillants supplémentaires
L'un des exécutables est un binaire légitime vulnérable au chargement latéral de DLL, qui est exploité pour charger un fichier DLL. Cette DLL déclenche finalement l'étape finale : un fichier obscurci nommé « XamlHost.sys » qui contient des outils d'accès à distance tels que Gh0st RAT ou le collecteur d'informations d'identification Mimikatz.
Le fichier d'installation MSI inclut également un script Visual Basic (.vbs) qui lance l'exécutable (par exemple Realtek) et dans certains exemples UULoader, un fichier leurre est exécuté pour détourner l'attention. Ce leurre correspond généralement à ce que le fichier .msi prétend être. Par exemple, si le programme d'installation se fait passer pour une « mise à jour de Chrome », le leurre sera une véritable mise à jour de Chrome.
Ce n'est pas la première fois que de faux installateurs de Google Chrome sont utilisés pour déployer Gh0st RAT. Le mois dernier, eSentire a signalé une chaîne d'attaque ciblant les utilisateurs chinois de Windows, utilisant un faux site Google Chrome pour distribuer le cheval de Troie d'accès à distance.
Les fraudeurs et les cybercriminels multiplient l'utilisation de leurres cryptographiques
Des acteurs malveillants ont récemment été observés en train de créer des milliers de sites de phishing sur le thème des crypto-monnaies ciblant les utilisateurs de services de portefeuille cryptographique populaires comme Coinbase, Exodus et MetaMask.
Ces acteurs mal intentionnés exploitent des plateformes d'hébergement gratuites telles que Gitbook et Webflow pour créer des sites de leurre sur des sous-domaines de portefeuilles cryptographiques typosquatteurs. Ces sites trompeurs attirent les victimes avec des informations sur les portefeuilles cryptographiques et des liens de téléchargement qui mènent à des URL frauduleuses.
Ces URL fonctionnent comme un système de distribution du trafic (TDS), redirigeant les utilisateurs soit vers du contenu de phishing, soit, si l'outil identifie le visiteur comme un chercheur en sécurité, vers des pages inoffensives.
En outre, des campagnes de phishing se font également passer pour des entités gouvernementales légitimes en Inde et aux États-Unis, redirigeant les utilisateurs vers de faux domaines conçus pour récolter des informations sensibles. Ces données volées peuvent ensuite être utilisées pour de futures escroqueries, des e-mails de phishing, la diffusion de fausses informations ou la distribution de logiciels malveillants.
L'intelligence artificielle également exploitée dans des campagnes trompeuses
Les tactiques d'ingénierie sociale ont capitalisé sur l'essor de l'intelligence artificielle générative (IA) pour créer des domaines trompeurs qui imitent OpenAI ChatGPT, facilitant diverses activités dangereuses telles que le phishing, les graywares, les ransomwares et les opérations de commandement et de contrôle (C2).
Un nombre important de ces domaines exploitent la popularité de l'IA générative en incorporant des mots-clés tels que « GPT » ou « ChatGPT ». Il est à noter que plus d'un tiers du trafic vers ces domaines nouvellement enregistrés a été dirigé vers des sites suspects.
