近日，网络安全研究团队Cyberint发现了一种特定的恶意安装程序变体正在被广泛使用，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。并以中韩使用者为主要目标。

Cybeint是一家专注于网络安全和威胁情报的公司，致力于通过先进的技术和解决方案，帮助客户提前检测和缓解外部网络威胁，从而降低安全风险。平台的专利技术通过持续发现不断发展的攻击面，结合自动收集和分析来自开放、深层和暗网的大量情报，保护客户免受外部风险的侵害，包括漏洞、错误配置、网络钓鱼、冒充攻击、恶意软件感染、暴露凭据、数据泄露、欺诈和第三方风险等。

Cyberint的首席执行官和首席财务官

最初，Cyberint团队注意到恶意.msi 文件的使用量有所上升，Windows安装程序 (.msi 文件）是已知的恶意软件传播载体，尽管并不常见，但它们已被威胁行为者用来传播各种恶意软件。在各种样本中，Cyberint团队注意到一种特定的恶意安装程序变体正在被广泛使用，伪装成合法应用程序或更新安装程序，并以韩语和中文使用者为目标。但大多数安全供应商在首次发现时都未能检测到该加载程序。

Cyberint团队将该恶意安装程序命名为UULoader，UULoader通过伪装成合法或常用的应用程序，以及使用诱饵文件等手段，诱骗用户下载并执行恶意软件。被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。攻击者可能利用免费托管服务搭建钓鱼网站，冒充知名的加密钱包服务或其他可信机构，诱导用户点击恶意链接。还可能滥用微软Dynamics 365 Marketing平台等合法工具，通过创建子域名和发送钓鱼邮件等方式，绕过常规的邮件过滤机制。随着生成式人工智能的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。

UULoader 新型恶意软件

UULoader 采用一种简单但有效的主要机制来逃避静态检测 ——文件头剥离。通过删除（或“剥离”）文件的前几个字节，文件可以完全逃避分类。UULoader 的“核心”文件通常以微软柜文件(.cab)格式分发，这种格式的文件在Windows系统中较为常见，因此具有一定的隐蔽性。内部包含两个核心可执行文件：一个（.exe）文件和一个（.dll）文件。这些文件的文件头已被剥离，使得传统的检测工具难以识别其恶意性质。

该恶意程序软件采用的技术特点主要是利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，这是一个混淆文件，实际上是远程访问工具(RAT)或Mimikatz凭证窃取器。安装文件中还包含Visual Basic脚本(.vbs)，负责启动Realtek等合法可执行文件，以增加混淆效果。部分样本还会运行诱饵文件，作为混淆策略。

UULoader作为一种新型恶意软件，其针对中韩用户的攻击手段多样且复杂。因此，用户和企业需要保持高度警惕，采取有效的防范措施来应对这种威胁。面对日益复杂的境外网络攻击，企业和个人都需要提高警惕，加强安全意识，提高对网络安全的重视程度，不轻易点击来源不明的链接或下载未知来源的软件。使用安全软件，安装并定期更新防病毒软件和防火墙，确保系统安全。谨慎处理个人信息，不随意在网络上透露个人敏感信息，如银行账户、密码等。并关注安全资讯，及时关注网络安全方面的新闻和资讯，了解最新的网络威胁和防范措施。