Um novo tipo de malware chamado UULoader está sendo usado por agentes de ameaças para entregar cargas úteis de próximo estágio, como Gh0st RAT e Mimikatz.
A equipe de pesquisa da Cyberint, que descobriu o malware, disse que ele é distribuído na forma de instaladores maliciosos para aplicativos legítimos que têm como alvo falantes de coreano e chinês.
Há evidências que indicam que o UULoader é o trabalho de um falante de chinês devido à presença de sequências de caracteres chinesas em arquivos de banco de dados do programa (PDB) incorporados ao arquivo DLL.
“Os arquivos 'core' do UULoader estão contidos em um arquivo Microsoft Cupboard (.cab) que contém dois executáveis primários (um .exe e um .dll) cujos cabeçalhos de arquivo foram removidos”, disse a empresa em um relatório técnico compartilhado com o The Hacker Information.
Um dos executáveis é um binário legítimo que é suscetível ao carregamento lateral de DLL, que é usado para carregar lateralmente o arquivo DLL que, por fim, carrega o estágio last, um arquivo ofuscado chamado “XamlHost.sys”, que nada mais é do que ferramentas de acesso remoto, como o Gh0st RAT ou o coletor de credenciais Mimikatz.
Presente no arquivo do instalador MSI está um script do Visible Fundamental (.vbs) que é responsável por iniciar o executável – por exemplo, Realtek – com alguns exemplos do UULoader também executando um arquivo chamariz como mecanismo de distração.
“Isso geralmente corresponde ao que o arquivo .msi está fingindo ser”, disse Cyberint. “Por exemplo, se ele tentar se disfarçar como uma 'atualização do Chrome', a isca será uma atualização legítima actual para o Chrome.”
Esta não é a primeira vez que instaladores falsos do Google Chrome levaram à implantação do Gh0st RAT. No mês passado, o eSentire detalhou uma cadeia de ataques visando usuários chineses do Home windows que empregaram um web site falso do Google Chrome para disseminar o trojan de acesso remoto.
O desenvolvimento ocorre no momento em que agentes de ameaças foram observados criando milhares de websites de isca com temas de criptomoedas usados para ataques de phishing que têm como alvo usuários de serviços populares de carteira de criptomoedas, como Coinbase, Exodus e MetaMask, entre outros.
“Esses atores estão usando serviços de hospedagem gratuitos como Gitbook e Webflow para criar websites de isca em subdomínios de typosquatter de carteiras criptográficas”, disse a Symantec, de propriedade da Broadcom. “Esses websites atraem vítimas em potencial com informações sobre carteiras criptográficas e hyperlinks de obtain que, na verdade, levam a URLs maliciosos.”
Essas URLs funcionam como um sistema de distribuição de tráfego (TDS), redirecionando os usuários para conteúdo de phishing ou para algumas páginas inócuas, caso a ferramenta decide que o visitante é um pesquisador de segurança.
Campanhas de phishing também têm se disfarçado de entidades governamentais legítimas na Índia e nos EUA para redirecionar usuários a domínios falsos que coletam informações confidenciais, que podem ser utilizadas em operações futuras para novos golpes, envio de e-mails de phishing, disseminação de desinformação/informações enganosas ou distribuição de malware.
Alguns desses ataques são notáveis pelo abuso da plataforma Dynamics 365 Advertising da Microsoft para criar subdomínios e enviar e-mails de phishing, passando pelos filtros de e-mail. Esses ataques receberam o codinome Uncle Rip-off devido ao fato de que esses e-mails personificam a Administração de Serviços Gerais dos EUA (GSA).
Os esforços de engenharia social lucraram ainda mais com a popularidade da onda de inteligência synthetic generativa (IA) para configurar domínios fraudulentos imitando o OpenAI ChatGPT para proliferar atividades suspeitas e maliciosas, incluindo phishing, grayware, ransomware e comando e controle (C2).
“Notavelmente, mais de 72% dos domínios se associam a aplicativos GenAI populares ao incluir palavras-chave como gpt ou chatgpt”, disse a Palo Alto Networks Unit 42 em uma análise no mês passado. “Entre todo o tráfego em direção a esses (domínios recém-registrados), 35% foi direcionado a domínios suspeitos.”
