UULoader マルウェア

サイバー犯罪者は、UULoader と呼ばれる新しい種類のマルウェアを使用して、その後に有害なペイロードを配信しています。このマルウェアを特定した研究者によると、このマルウェアは、正規のアプリケーションを装った破損したインストーラーを通じて拡散し、主に韓国語と中国語を話すユーザーをターゲットにしています。DLL ファイルに埋め込まれたプログラム データベース (PDB) ファイルで中国語の文字列が見つかったため、UULoader は中国語を話すユーザーによって開発された可能性があるという兆候があります。このマルウェアは、 Gh0st RATやMimikatzなどの侵害後の脅威を展開するために利用されています。

UULoader のコア コンポーネントは、Microsoft Cabinet (.cab) アーカイブ内にパッケージ化されており、ファイル ヘッダーが削除された 2 つの主要な実行可能ファイル (.exe と .dll) が含まれています。

脅威アクターはUULoaderを利用して追加のマルウェアを配信する

実行可能ファイルの 1 つは、DLL サイドローディングに対して脆弱な正規のバイナリであり、これを悪用して DLL ファイルをロードします。この DLL は最終的に最終段階をトリガーします。最終段階は、「XamlHost.sys」という難読化されたファイルで、Gh0st RAT や Mimikatz 資格情報ハーベスターなどのリモート アクセス ツールが含まれています。

MSI インストーラー ファイルには、Realtek などの実行可能ファイルを起動する Visual Basic スクリプト (.vbs) も含まれています。また、一部の UULoader サンプルでは、注意をそらすためにデコイ ファイルが実行されます。このデコイは通常、.msi ファイルが主張するものと一致します。たとえば、インストーラーが「Chrome アップデート」を装っている場合、デコイは本物の Chrome アップデートになります。

偽の Google Chrome インストーラーが Gh0st RAT の展開に使用されたのは今回が初めてではありません。先月、eSentire は、偽の Google Chrome サイトを使用してリモート アクセス型トロイの木馬を配布し、中国の Windows ユーザーを標的とした攻撃チェーンを報告しました。

詐欺師やサイバー犯罪者が暗号通貨をテーマにしたルアーの使用を増加

最近、脅威アクターが、Coinbase、Exodus、MetaMask などの人気の暗号通貨ウォレット サービスのユーザーをターゲットにして、暗号通貨をテーマにしたフィッシング サイトを何千も作成していることが確認されています。

これらの悪意のある行為者は、Gitbook や Webflow などの無料ホスティング プラットフォームを利用して、仮想通貨ウォレットのタイポスクワッター サブドメインに誘導サイトを設定しています。これらの欺瞞サイトは、仮想通貨ウォレットに関する情報や不正な URL につながるダウンロード リンクで被害者を誘い込みます。

これらの URL はトラフィック分散システム (TDS) として機能し、ユーザーをフィッシング コンテンツにリダイレクトするか、ツールが訪問者をセキュリティ研究者であると識別した場合は無害なページにリダイレクトします。

さらに、インドや米国の正当な政府機関を装ったフィッシング キャンペーンも行われており、機密情報を収集するためにユーザーを偽のドメインにリダイレクトしています。盗まれたデータは、将来の詐欺、フィッシング メール、誤情報の拡散、マルウェアの配布に使用される可能性があります。

AIバズは誤解を招くキャンペーンにも利用される

ソーシャル エンジニアリング戦術は、生成型人工知能 (AI) の急増を利用して、OpenAI ChatGPT を模倣した誤解を招くドメインを作成し、フィッシング、グレーウェア、ランサムウェア、コマンド アンド コントロール (C2) 操作などのさまざまな危険な活動を促進しています。

これらのドメインの多くは、「GPT」や「ChatGPT」などのキーワードを組み込むことで、生成 AI の人気を悪用しています。注目すべきは、これらの新規登録ドメインへのトラフィックの 3 分の 1 以上が疑わしいサイトに誘導されていることです。