UULoader adı verilen yeni bir kötü amaçlı yazılım türü, tehdit aktörleri tarafından Gh0st RAT ve Mimikatz gibi bir sonraki aşama yüklerini iletmek için kullanılıyor.
Kötü amaçlı yazılımı keşfeden Cyberint Araştırma Ekibi, bunun Korece ve Çince konuşanları hedef alan meşru uygulamalar için kötü amaçlı yükleyiciler biçiminde dağıtıldığını söyledi.
DLL dosyasının içine gömülü program veritabanı (PDB) dosyalarında Çince dizelerin bulunması, UULoader’ın Çince konuşan birinin işi olduğuna işaret eden kanıtlara işaret ediyor.
Şirket, The Hacker News ile paylaştığı teknik raporda, “UULoader’ın ‘çekirdek’ dosyaları, dosya başlıkları kaldırılmış iki birincil yürütülebilir dosya (bir .exe ve bir .dll) içeren bir Microsoft Cabinet arşiv (.cab) dosyasında yer alıyor” ifadelerini kullandı.
Çalıştırılabilir dosyalardan biri, DLL dosyasının yan yüklemesine karşı hassas olan meşru bir ikili dosyadır. Bu dosya, nihai aşama olan “XamlHost.sys” adlı, Gh0st RAT veya Mimikatz kimlik bilgisi toplayıcısı gibi uzaktan erişim araçlarından başka bir şey olmayan bir gizleme dosyasını yüklemek için kullanılır.
MSI yükleyici dosyasının içerisinde, çalıştırılabilir dosyayı (örneğin Realtek) başlatmaktan sorumlu bir Visual Basic Script (.vbs) bulunur; ayrıca bazı UULoader örnekleri, dikkat dağıtma mekanizması olarak bir sahte dosya da çalıştırır.
“Bu genellikle .msi dosyasının taklit ettiği şeye karşılık gelir,” dedi Cyberint. “Örneğin, kendisini bir ‘Chrome güncellemesi’ olarak gizlemeye çalışırsa, sahte içerik Chrome için gerçek bir meşru güncelleme olacaktır.”
Sahte Google Chrome yükleyicilerinin Gh0st RAT dağıtımına yol açması ilk kez olmuyor. Geçtiğimiz ay, eSentire uzaktan erişim trojanını yaymak için sahte bir Google Chrome sitesi kullanan Çinli Windows kullanıcılarını hedef alan bir saldırı zincirini ayrıntılı olarak açıkladı.
Gelişme, tehdit aktörlerinin Coinbase, Exodus ve MetaMask gibi popüler kripto para cüzdanı servislerinin kullanıcılarını hedef alan kimlik avı saldırıları için kullanılan binlerce kripto para temalı cazibe sitesi oluşturduğunun gözlemlenmesinin ardından geldi.
Broadcom’a ait Symantec, “Bu aktörler, kripto cüzdanı yazım hatası alt alan adlarında cazibeli siteler oluşturmak için Gitbook ve Webflow gibi ücretsiz barındırma hizmetlerini kullanıyorlar,” dedi. “Bu siteler, potansiyel kurbanları kripto cüzdanları ve aslında kötü amaçlı URL’lere yönlendiren indirme bağlantıları hakkında bilgilerle cezbediyor.”
Bu URL’ler, aracın ziyaretçinin bir güvenlik araştırmacısı olduğunu tespit etmesi durumunda kullanıcıları kimlik avı içeriğine veya bazı zararsız sayfalara yönlendiren bir trafik dağıtım sistemi (TDS) görevi görür.
Hindistan ve ABD’de kimlik avı kampanyaları, kullanıcıları hassas bilgileri toplayan sahte alan adlarına yönlendirmek için kendilerini meşru hükümet kuruluşları gibi göstererek, gelecekteki dolandırıcılık operasyonlarında, kimlik avı e-postaları göndermekte, yanlış bilgi yaymakta veya kötü amaçlı yazılım dağıtmakta kullanılabilmektedir.
Bu saldırılardan bazıları, alt etki alanları oluşturmak ve kimlik avı e-postaları göndermek için Microsoft’un Dynamics 365 Marketing platformunun kötüye kullanılması ve böylece e-posta filtrelerinden sıyrılması nedeniyle dikkat çekicidir. Bu saldırılara, bu e-postaların ABD Genel Hizmetler İdaresi’ni (GSA) taklit etmesi nedeniyle Uncle Scam kod adı verilmiştir.
Sosyal mühendislik çalışmaları, şüpheli ve kötü amaçlı faaliyetleri yaymak için OpenAI ChatGPT’yi taklit eden sahte alan adları kurmak amacıyla üretken yapay zeka (AI) dalgasının popülaritesinden daha da yararlandı; kimlik avı, gri yazılım, fidye yazılımı ve komuta ve kontrol (C2) dahil.
Palo Alto Networks Unit 42 geçen ay yaptığı bir analizde “Şaşırtıcı bir şekilde, alan adlarının %72’sinden fazlası gpt veya chatgpt gibi anahtar sözcükleri ekleyerek popüler GenAI uygulamalarıyla ilişkilendiriliyor” dedi. “Buralara doğru olan tüm trafik arasında [newly registered domains]%35’i şüpheli alan adlarına yönlendirildi.”