19 de agosto de 2024Ravie LakshmananInteligencia de amenazas / Criptomonedas Los actores de amenazas están utilizando un nuevo tipo de malware llamado UULoader para entregar cargas útiles de siguiente etapa como Gh0st RAT y Mimikatz. El equipo de investigación de Cyberint, que descubrió el malware, dijo que se distribuye en forma de instaladores maliciosos para aplicaciones legítimas dirigidas a hablantes de coreano y chino. Hay evidencia que apunta a que UULoader es obra de un hablante de chino debido a la presencia de cadenas chinas en los archivos de la base de datos del programa (PDB) incrustados dentro del archivo DLL. «Los archivos ‘principales’ de UULoader están contenidos en un archivo de archivo Microsoft Cabinet (.cab) que contiene dos ejecutables principales (un .exe y un .dll) a los que se les ha quitado el encabezado de archivo», dijo la compañía en un informe técnico compartido con The Hacker News. Uno de los ejecutables es un binario legítimo que es susceptible de carga lateral de DLL, que se utiliza para cargar lateralmente el archivo DLL que finalmente carga la etapa final, un archivo ofuscado llamado «XamlHost.sys» que no es más que herramientas de acceso remoto como Gh0st RAT o el recolector de credenciales Mimikatz. Presente dentro del archivo de instalación MSI hay un Visual Basic Script (.vbs) que es responsable de iniciar el ejecutable -por ejemplo, Realtek- con algunas muestras de UULoader que también ejecutan un archivo señuelo como mecanismo de distracción. «Esto generalmente corresponde a lo que el archivo .msi pretende ser», dijo Cyberint. «Por ejemplo, si intenta disfrazarse como una ‘actualización de Chrome’, el señuelo será una actualización legítima real para Chrome». Esta no es la primera vez que los instaladores falsos de Google Chrome han llevado a la implementación de Gh0st RAT. El mes pasado, eSentire detalló una cadena de ataques dirigida a usuarios chinos de Windows que empleaban un sitio falso de Google Chrome para difundir el troyano de acceso remoto. El desarrollo se produce después de que se observara a actores de amenazas creando miles de sitios de señuelo con temática de criptomonedas utilizados para ataques de phishing que apuntan a usuarios de servicios de billetera de criptomonedas populares como Coinbase, Exodus y MetaMask, entre otros. «Estos actores están utilizando servicios de alojamiento gratuitos como Gitbook y Webflow para crear sitios de señuelo en subdominios de typosquatter de billeteras de criptomonedas», dijo Symantec, propiedad de Broadcom. «Estos sitios atraen a las víctimas potenciales con información sobre billeteras de criptomonedas y enlaces de descarga que en realidad conducen a URL maliciosas». Estas URL sirven como un sistema de distribución de tráfico (TDS) que redirige a los usuarios a contenido de phishing o a algunas páginas inocuas si la herramienta determina que el visitante es un investigador de seguridad. Las campañas de phishing también se han hecho pasar por entidades gubernamentales legítimas en India y Estados Unidos para redirigir a los usuarios a dominios falsos que recopilan información confidencial, que se puede aprovechar en futuras operaciones para realizar más estafas, enviar correos electrónicos de phishing, difundir desinformación o distribuir malware. Algunos de estos ataques son dignos de mención por el abuso de la plataforma Dynamics 365 Marketing de Microsoft para crear subdominios y enviar correos electrónicos de phishing, con lo que se evaden los filtros de correo electrónico. Estos ataques han recibido el nombre en código de Uncle Scam debido al hecho de que estos correos electrónicos se hacen pasar por la Administración de Servicios Generales de Estados Unidos (GSA). Los esfuerzos de ingeniería social han sacado aún más provecho de la popularidad de la ola de inteligencia artificial (IA) generativa para configurar dominios fraudulentos que imitan a OpenAI ChatGPT para proliferar actividades sospechosas y maliciosas, como phishing, grayware, ransomware y comando y control (C2). «Sorprendentemente, más del 72% de los dominios se asocian con aplicaciones GenAI populares al incluir palabras clave como gpt o chatgpt», dijo Palo Alto Networks Unit 42 en un análisis el mes pasado. «Entre todo el tráfico hacia estas [newly registered domains]El 35% se dirigió a dominios sospechosos. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.