UULoader라는 새로운 유형의 맬웨어는 위협 행위자들이 Gh0st RAT 및 Mimikatz와 같은 차세대 페이로드를 전달하는 데 사용되고 있습니다.
이 악성코드를 발견한 사이버인트 연구팀은 이 악성코드가 한국어와 중국어 사용자를 대상으로 합법적인 애플리케이션에 악성 설치 프로그램 형태로 배포된다고 밝혔습니다.
DLL 파일 내에 내장된 프로그램 데이터베이스(PDB) 파일에 중국어 문자열이 있다는 점에서 UULoader가 중국어 사용자의 작품일 가능성이 있다는 증거가 있습니다.
“UULoader의 ‘코어’ 파일은 두 개의 기본 실행 파일(.exe 및 .dll)을 포함하는 Microsoft Cabinet 보관 파일(.cab)에 포함되어 있으며, 해당 파일의 헤더는 제거되었습니다.” 해당 회사는 The Hacker News에 공유한 기술 보고서에서 이렇게 밝혔습니다.
실행 파일 중 하나는 DLL 사이드 로딩에 취약한 합법적인 바이너리로, 이를 통해 최종 단계를 로드하는 DLL 파일을 사이드 로딩합니다. 최종 단계는 “XamlHost.sys”라는 난독화된 파일로, Gh0st RAT 또는 Mimikatz 자격 증명 수집기와 같은 원격 액세스 도구에 불과합니다.
MSI 설치 프로그램 파일에는 Realtek 등의 실행 파일을 실행하는 Visual Basic 스크립트(.vbs)가 들어 있으며, 일부 UULoader 샘플은 주의를 돌리는 메커니즘으로 미끼 파일을 실행합니다.
“이것은 일반적으로 .msi 파일이 가장하는 것과 일치합니다.” Cyberint가 말했습니다. “예를 들어, ‘Chrome 업데이트’로 위장하려고 하면 미끼는 실제로 Chrome의 합법적인 업데이트가 됩니다.”
가짜 Google Chrome 설치 프로그램이 Gh0st RAT의 배포로 이어진 것은 이번이 처음이 아닙니다. 지난달 eSentire는 원격 액세스 트로이 목마를 배포하기 위해 가짜 Google Chrome 사이트를 사용한 중국 Windows 사용자를 대상으로 하는 공격 체인에 대해 자세히 설명했습니다.
이러한 동향은 위협 행위자들이 Coinbase, Exodus, MetaMask 등 인기 있는 암호화폐 지갑 서비스 사용자를 대상으로 피싱 공격에 사용되는 수천 개의 암호화폐를 주제로 한 미끼 사이트를 만드는 것으로 관찰되면서 나타났습니다.
Broadcom 소유의 Symantec은 “이러한 행위자들은 Gitbook 및 Webflow와 같은 무료 호스팅 서비스를 사용하여 암호 지갑 타이포스쿼터 하위 도메인에 미끼 사이트를 만들고 있습니다.”라고 말했습니다. “이러한 사이트는 잠재적인 피해자를 암호 지갑에 대한 정보와 실제로 악성 URL로 연결되는 다운로드 링크로 유혹합니다.”
이러한 URL은 도구가 방문자를 보안 연구원으로 판단할 경우 사용자를 피싱 콘텐츠나 무해한 페이지로 리디렉션하는 트래픽 분산 시스템(TDS) 역할을 합니다.
피싱 캠페인은 인도와 미국의 합법적인 정부 기관을 사칭하여 사용자를 민감한 정보를 수집하는 가짜 도메인으로 리디렉션하고, 이를 향후 추가 사기에 사용하거나 피싱 이메일을 보내거나, 허위 정보/잘못된 정보를 퍼뜨리거나, 맬웨어를 배포하는 작업에 활용합니다.
이러한 공격 중 일부는 하위 도메인을 만들고 피싱 이메일을 보내 이메일 필터를 통과하기 위해 Microsoft Dynamics 365 Marketing 플랫폼을 남용한 것으로 주목할 만합니다. 이러한 공격은 이러한 이메일이 미국 총무청(GSA)을 사칭한다는 사실 때문에 Uncle Scam이라는 코드명을 받았습니다.
생성적 인공지능(AI) 열풍을 이용한 사회 공학적 노력은 OpenAI ChatGPT를 모방한 사기 도메인을 설정하여 피싱, 그레이웨어, 랜섬웨어, 명령 및 제어(C2)를 비롯한 의심스럽고 악의적인 활동을 확산시키는 데 이용되었습니다.
“놀랍게도, 도메인의 72% 이상이 gpt나 chatgpt와 같은 키워드를 포함하여 인기 있는 GenAI 애플리케이션과 연관되어 있습니다.” Palo Alto Networks Unit 42는 지난달 분석에서 이렇게 말했습니다. “이러한 (새로 등록된 도메인)에 대한 모든 트래픽 중 35%가 의심스러운 도메인으로 향했습니다.”