欢迎进入清桥国际安保集团官网!
Qingqiao Culture
清桥文化

回到顶部

当前位置:首页 > 清桥资讯 > 清桥视界
境外新型恶意软件肆虐,主要针对中韩用户
发布时间:2024-09-06 来源:清桥 浏览次数:

近日,网络安全研究团队Cyberint发现了一种特定的恶意安装程序变体正在被广泛使用,进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。并以中韩使用者为主要目标。

Cybeint是一家专注于网络安全和威胁情报的公司,致力于通过先进的技术和解决方案,帮助客户提前检测和缓解外部网络威胁,从而降低安全风险。平台的专利技术通过持续发现不断发展的攻击面,结合自动收集和分析来自开放、深层和暗网的大量情报,保护客户免受外部风险的侵害,包括漏洞、错误配置、网络钓鱼、冒充攻击、恶意软件感染、暴露凭据、数据泄露、欺诈和第三方风险

96f96d28d7ef69e52a3790595d2561aa.png

Cyberint的首席执行官和首席财务官

最初,Cyberint团队注意到恶意.msi 文件的使用量有所上升Windows安装程序 (.msi 文件是已知的恶意软件传播载体,尽管并不常见,但它们已被威胁行为者用来传播各种恶意软件。在各种样本中,Cyberint团队注意到一种特定的恶意安装程序变体正在被广泛使用,伪装成合法应用程序或更新安装程序,并以韩语和中文使用者为目标。但大多数安全供应商在首次发现时都未能检测到该加载程序

Cyberint团队将该恶意安装程序命名为UULoaderUULoader通过伪装成合法或常用的应用程序,以及使用诱饵文件等手段,诱骗用户下载并执行恶意软件。被黑客用于投放后续恶意载荷,如Gh0st RATMimikatz等工具,进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。攻击者可能利用免费托管服务搭建钓鱼网站,冒充知名的加密钱包服务或其他可信机构,诱导用户点击恶意链接。还可能滥用微软Dynamics 365 Marketing平台等合法工具,通过创建子域名和发送钓鱼邮件等方式,绕过常规的邮件过滤机制。随着生成式人工智能的广泛应用,社会工程攻击也开始利用这一趋势,设置伪装成OpenAI ChatGPT的诈骗域名,用于钓鱼、灰色软件、勒索软件等恶意活动。

640.png

UULoader 新型恶意软件

UULoader 采用一种简单但有效的主要机制来逃避静态检测 ——文件头剥离。通过删除(或剥离)文件的前几个字节,文件可以完全逃避分类。UULoader 核心文件通常以微软柜文件(.cab)格式分发,这种格式的文件在Windows系统中较为常见,因此具有一定的隐蔽性。内部包含两个核心可执行文件:一个.exe文件和一个.dll文件。这些文件的文件头已被剥离,使得传统的检测工具难以识别其恶意性质。

该恶意程序软件采用的技术特点主要是利用合法的二进制文件进行DLL侧加载,最终加载的文件名为“XamlHost.sys”,这是一个混淆文件,实际上远程访问工具(RAT)Mimikatz凭证窃取器。安装文件中包含Visual Basic脚本(.vbs),负责启动Realtek等合法可执行文件,以增加混淆效果。部分样本还会运行诱饵文件,作为混淆策略。

UULoader作为一种新型恶意软件,其针对中韩用户的攻击手段多样且复杂。因此,用户和企业需要保持高度警惕,采取有效的防范措施来应对这种威胁。面对日益复杂的境外网络攻击,企业和个人提高警惕,加强安全意识提高对网络安全的重视程度,不轻易点击来源不明的链接或下载未知来源的软件。使用安全软件安装并定期更新防病毒软件和防火墙,确保系统安全。谨慎处理个人信息不随意在网络上透露个人敏感信息,如银行账户、密码等。关注安全资讯及时关注网络安全方面的新闻和资讯,了解最新的网络威胁和防范措施。



老挝:+8562026 885 687         国内:+0086-27-81305687-0         咨询热线:400-6689-651        

电子邮箱:qingqiaoint@163.com   /   qingqiaog5687@gmail.com

版权所有:清桥国际安保集团     备案号:鄂ICP备2021010908号

清桥资讯

G5687
电话
400-6689-651

扫码加微信

首页

微信

扫码加微信

电话咨询

facebook

领英