近日，網(wǎng)絡(luò)安全研究團(tuán)隊(duì)Cyberint發(fā)現(xiàn)了一種難以檢測(cè)的新型惡意軟件UULoader，主要針對(duì)中韓用戶。該軟件被黑客用于投放后續(xù)惡意載荷，如Gh0st RAT和Mimikatz等工具，進(jìn)而實(shí)施信息傳播、竊密、詐騙、投放惡意軟件、竊取加密貨幣等非法活動(dòng)。

　　據(jù)Cyberint的技術(shù)報(bào)告披露，UULoader通過(guò)偽裝成合法應(yīng)用程序的惡意安裝程序，主要針對(duì)韓語(yǔ)和中文用戶。這些惡意軟件通常以微軟柜文件(.cab)格式分發(fā)，內(nèi)部包含兩個(gè)核心可執(zhí)行文件，一個(gè)為.exe文件，另一個(gè)為.dll文件。這些文件的文件頭已被剝離，使其難以被傳統(tǒng)檢測(cè)工具識(shí)別。

　　值得注意的是，UULoader的代碼中包含了中文字符串，且嵌入的DLL文件中存在程序數(shù)據(jù)庫(kù)(PDB)文件，進(jìn)一步指向其開(kāi)發(fā)者可能為中文母語(yǔ)者。Cyberint指出，該惡意軟件利用合法的二進(jìn)制文件進(jìn)行DLL側(cè)加載，最終加載的文件名為“XamlHost.sys”，實(shí)際上是遠(yuǎn)程訪問(wèn)工具(RAT)或Mimikatz憑證竊取器。

　　此外，UULoader的安裝文件中包含了Visual Basic腳本(.vbs)，負(fù)責(zé)啟動(dòng)Realtek等合法可執(zhí)行文件，同時(shí)部分樣本還會(huì)運(yùn)行誘餌文件，作為混淆策略。例如，若偽裝為Chrome更新程序，誘餌文件就是真實(shí)的Chrome更新程序。

UULoader攻擊路徑

　　這并非UULoader首次曝光，早在上個(gè)月，網(wǎng)絡(luò)安全公司eSentire就曾報(bào)告過(guò)類(lèi)似的攻擊鏈條，攻擊者通過(guò)偽造的Google Chrome網(wǎng)站傳播Gh0st RAT，目標(biāo)為中國(guó)的Windows用戶。

　　UULoader的出現(xiàn)恰逢近年來(lái)以加密貨幣為誘餌的釣魚(yú)攻擊激增。攻擊者利用免費(fèi)托管服務(wù)搭建釣魚(yú)網(wǎng)站，冒充Coinbase、Exodus和MetaMask等加密錢(qián)包服務(wù)，誘導(dǎo)用戶點(diǎn)擊惡意鏈接。Symantec的報(bào)告指出，攻擊者利用Gitbook和Webflow等服務(wù)，創(chuàng)建仿冒加密錢(qián)包的域名，誘騙受害者訪問(wèn)釣魚(yú)頁(yè)面。

　　不僅如此，部分釣魚(yú)攻擊還偽裝成印度和美國(guó)政府機(jī)構(gòu)，誘導(dǎo)用戶訪問(wèn)虛假域名，竊取敏感信息，并用于進(jìn)一步的詐騙、信息傳播或惡意軟件分發(fā)。值得警惕的是，這些攻擊還濫用微軟Dynamics 365 Marketing平臺(tái)，通過(guò)創(chuàng)建子域名和發(fā)送釣魚(yú)郵件，繞過(guò)常規(guī)的郵件過(guò)濾機(jī)制。

　　同時(shí)，隨著生成式人工智能(GenAI)的廣泛應(yīng)用，社會(huì)工程攻擊也開(kāi)始利用這一趨勢(shì)，設(shè)置偽裝成OpenAI ChatGPT的詐騙域名，用于釣魚(yú)、灰色軟件、勒索軟件等惡意活動(dòng)。據(jù)Palo Alto Networks的報(bào)告顯示，超過(guò)72%的詐騙域名包含gpt或Chatgpt等與生成式AI應(yīng)用有關(guān)的關(guān)鍵詞。

　　面對(duì)日益復(fù)雜的境外網(wǎng)絡(luò)攻擊，中國(guó)企業(yè)和個(gè)人需提高警惕，尤其是在使用與生成式AI、加密貨幣相關(guān)的服務(wù)時(shí)，應(yīng)加強(qiáng)防范措施，避免成為網(wǎng)絡(luò)犯罪的目標(biāo)。