Los actores de amenazas est\u00e1n utilizando un nuevo tipo de malware llamado UULoader para entregar cargas \u00fatiles de siguiente etapa como Gh0st RAT y Mimikatz<\/a>.<\/p>\n El equipo de investigaci\u00f3n de Cyberint, que descubri\u00f3 el malware, dijo que se distribuye en forma de instaladores maliciosos para aplicaciones leg\u00edtimas dirigidas a hablantes de coreano y chino.<\/p>\n Hay evidencia que apunta a que UULoader es el trabajo de un hablante de chino debido a la presencia de cadenas chinas en los archivos de base de datos del programa (PDB) incrustados dentro del archivo DLL.<\/p>\n “Los archivos ‘principales’ de UULoader est\u00e1n contenidos en un archivo Microsoft Cabinet (.cab) que contiene dos ejecutables principales (un .exe y un .dll) a los que se les ha quitado el encabezado de archivo”, dijo la empresa. dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n Uno de los ejecutables es un binario leg\u00edtimo que es susceptible a la carga lateral de DLL, que se utiliza para cargar lateralmente el archivo DLL que finalmente carga la etapa final, un archivo de ofuscaci\u00f3n llamado “XamlHost.sys” que no es m\u00e1s que herramientas de acceso remoto como Gh0st RAT o el recolector de credenciales Mimikatz.<\/p>\n Dentro del archivo de instalaci\u00f3n MSI hay un script de Visual Basic (.vbs) que es responsable de iniciar el ejecutable (por ejemplo, Realtek) y algunos ejemplos de UULoader tambi\u00e9n ejecutan un archivo se\u00f1uelo como mecanismo de distracci\u00f3n.<\/p>\n “Esto suele corresponderse con lo que el archivo .msi pretende ser”, dijo Cyberint. “Por ejemplo, si intenta hacerse pasar por una ‘actualizaci\u00f3n de Chrome’, el se\u00f1uelo ser\u00e1 una actualizaci\u00f3n leg\u00edtima de Chrome”.<\/p>\n No es la primera vez que los instaladores falsos de Google Chrome han dado lugar a la implementaci\u00f3n de Gh0st RAT. El mes pasado, eSentire detall\u00f3 una cadena de ataques dirigida a usuarios chinos de Windows que utilizaban un sitio falso de Google Chrome para difundir el troyano de acceso remoto.<\/p>\n El desarrollo se produce luego de que se ha observado que los actores de amenazas crean miles de sitios se\u00f1uelo con tem\u00e1tica de criptomonedas utilizados para ataques de phishing dirigidos a usuarios de servicios de billetera de criptomonedas populares como Coinbase, Exodus y MetaMask, entre otros.<\/p>\n “Estos actores est\u00e1n utilizando servicios de alojamiento gratuitos como Gitbook y Webflow para crear sitios atractivos en subdominios de typosquatter de billeteras criptogr\u00e1ficas”, dijo Symantec, propiedad de Broadcom. dicho<\/a>“Estos sitios atraen a posibles v\u00edctimas con informaci\u00f3n sobre billeteras de criptomonedas y enlaces de descarga que en realidad conducen a URL maliciosas”.<\/p>\n Estas URL sirven como un sistema de distribuci\u00f3n de tr\u00e1fico (TDS) que redirige a los usuarios a contenido de phishing o a algunas p\u00e1ginas inocuas si la herramienta determina que el visitante es un investigador de seguridad.<\/p>\n Tambi\u00e9n se han producido campa\u00f1as de phishing. haci\u00e9ndose pasar por<\/a> como entidades gubernamentales leg\u00edtimas en India y Estados Unidos para redirigir a los usuarios a dominios falsos que recopilan informaci\u00f3n confidencial, que puede aprovecharse en futuras operaciones para otras estafas, enviar correos electr\u00f3nicos de phishing, difundir desinformaci\u00f3n o informaci\u00f3n err\u00f3nea o distribuir malware.<\/p>\n Algunos de estos ataques son conocidos por el uso indebido de la plataforma Dynamics 365 Marketing de Microsoft para crear subdominios y enviar correos electr\u00f3nicos de phishing, eludiendo as\u00ed los filtros de correo electr\u00f3nico. Estos ataques han recibido el nombre en c\u00f3digo T\u00edo estafa<\/a> debido a que estos correos electr\u00f3nicos se hacen pasar por la Administraci\u00f3n de Servicios Generales de EE. UU. (GSA).<\/p>\n Los esfuerzos de ingenier\u00eda social han sacado a\u00fan m\u00e1s provecho de la popularidad de la ola de inteligencia artificial (IA) generativa para configurar dominios fraudulentos que imitan a OpenAI ChatGPT para proliferar actividades sospechosas y maliciosas, como phishing, grayware, ransomware y comando y control (C2).<\/p>\n “Sorprendentemente, m\u00e1s del 72 % de los dominios se asocian con aplicaciones GenAI populares al incluir palabras clave como gpt o chatgpt”, Palo Alto Networks Unit 42 dicho<\/a> en un an\u00e1lisis del mes pasado. “Entre todo el tr\u00e1fico hacia estos [newly registered domains]El 35% estaba dirigido a dominios sospechosos”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-nuevo-malware-UULoader-distribuye-Gh0st-RAT-y-Mimikatz-en.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n