تقوم البرامج الضارة الجديدة UULoader بتوزيع Gh0st RAT وMimikatz في شرق آسيا
يتم استخدام نوع جديد من البرامج الضارة يسمى UULoader من قبل جهات التهديد لتقديم حمولات المرحلة التالية مثل Gh0st RAT و ميميكاتز.
وقال فريق أبحاث Cyberint، الذي اكتشف البرامج الضارة، إنها يتم توزيعها في شكل مثبتات ضارة لتطبيقات مشروعة تستهدف المتحدثين الكوريين والصينيين.
هناك أدلة تشير إلى أن UULoader هو عمل متحدث صيني بسبب وجود سلاسل صينية في ملفات قاعدة بيانات البرنامج (PDB) المضمنة في ملف DLL.
“الملفات الأساسية لـ UULoader موجودة في ملف أرشيف Microsoft Cabinet (.cab) الذي يحتوي على ملفين تنفيذيين أساسيين (.exe و.dll) تم تجريد رأس الملف الخاص بهما،” الشركة قال في تقرير فني تمت مشاركته مع The Hacker News.
أحد الملفات التنفيذية هو ملف ثنائي شرعي عرضة للتحميل الجانبي لـ DLL، والذي يُستخدم للتحميل الجانبي لملف DLL الذي يقوم في النهاية بتحميل المرحلة النهائية، وهو ملف غامض يسمى “XamlHost.sys” وهو ليس سوى أدوات الوصول عن بعد مثل Gh0st RAT أو حصادة أوراق الاعتماد Mimikatz.
يوجد داخل ملف تثبيت MSI برنامج Visual Basic Script (.vbs) المسؤول عن تشغيل الملف القابل للتنفيذ – على سبيل المثال، Realtek – مع بعض نماذج UULoader التي تقوم أيضًا بتشغيل ملف خادع كآلية لتشتيت الانتباه.
وقال Cyberint: “يتوافق هذا عادةً مع ما يتظاهر به ملف .msi”. “على سبيل المثال، إذا حاول إخفاء نفسه على أنه “تحديث Chrome”، فسيكون الخداع بمثابة تحديث حقيقي وشرعي لمتصفح Chrome.”
ليست هذه هي المرة الأولى التي تؤدي فيها أدوات تثبيت Google Chrome الزائفة إلى نشر Gh0st RAT. في الشهر الماضي، قامت eSentire بتفصيل سلسلة هجمات تستهدف مستخدمي Windows الصينيين الذين استخدموا موقع Google Chrome المزيف لنشر حصان طروادة للوصول عن بعد.
ويأتي هذا التطور في الوقت الذي لوحظ فيه قيام الجهات الفاعلة في مجال التهديد بإنشاء الآلاف من مواقع الإغراء ذات الطابع الخاص بالعملات المشفرة المستخدمة لهجمات التصيد الاحتيالي التي تستهدف مستخدمي خدمات محفظة العملات المشفرة الشهيرة مثل Coinbase وExodus وMetaMask وغيرها.
“يستخدم هؤلاء الممثلون خدمات استضافة مجانية مثل Gitbook وWebflow لإنشاء مواقع جذب على النطاقات الفرعية typosquatter لمحفظة العملات المشفرة”، حسبما ذكرت شركة Symantec المملوكة لشركة Broadcom. قال. “تجذب هذه المواقع الضحايا المحتملين بمعلومات حول محافظ العملات المشفرة وروابط التنزيل التي تؤدي في الواقع إلى عناوين URL ضارة.”
تعمل عناوين URL هذه بمثابة نظام توزيع حركة المرور (TDS) الذي يعيد توجيه المستخدمين إلى محتوى التصيد الاحتيالي أو إلى بعض الصفحات غير الضارة إذا حددت الأداة أن الزائر هو باحث أمني.
وكانت حملات التصيد أيضا التنكر ككيانات حكومية شرعية في الهند والولايات المتحدة لإعادة توجيه المستخدمين إلى نطاقات زائفة تجمع معلومات حساسة، والتي يمكن الاستفادة منها في العمليات المستقبلية لمزيد من عمليات الاحتيال، أو إرسال رسائل بريد إلكتروني تصيدية، أو نشر معلومات مضللة/معلومات مضللة، أو توزيع برامج ضارة.
بعض هذه الهجمات جديرة بالملاحظة بسبب إساءة استخدام منصة Microsoft Dynamics 365 Marketing لإنشاء نطاقات فرعية وإرسال رسائل بريد إلكتروني تصيدية، وبالتالي التسلل عبر مرشحات البريد الإلكتروني. وقد تم تسمية هذه الهجمات بأسماء رمزية عم الغش نظرًا لأن رسائل البريد الإلكتروني هذه تنتحل صفة إدارة الخدمات العامة الأمريكية (GSA).
استفادت جهود الهندسة الاجتماعية بشكل أكبر من شعبية موجة الذكاء الاصطناعي التوليدي (AI) لإنشاء نطاقات احتيال تحاكي OpenAI ChatGPT لنشر الأنشطة المشبوهة والخبيثة، بما في ذلك التصيد الاحتيالي والبرامج الرمادية وبرامج الفدية وبرامج التحكم والسيطرة (C2). .
“من اللافت للنظر أن أكثر من 72% من النطاقات تربط نفسها بتطبيقات GenAI الشائعة من خلال تضمين كلمات رئيسية مثل gpt أو chatgpt،” وحدة Palo Alto Networks 42 قال في تحليل الشهر الماضي. “من بين كل حركة المرور نحو هؤلاء [newly registered domains]و35% منها تم توجيهها نحو النطاقات المشبوهة.”
إرسال التعليق