近日，網(wǎng)絡(luò)安全研究團(tuán)隊(duì)Cyberint發(fā)現(xiàn)了一種難以檢測的新型惡意軟件UULoader，主要針對中韓用戶。該軟件被黑客用于投放后續(xù)惡意載荷，如Gh0st RAT和Mimikatz等工具，進(jìn)而實(shí)施信息傳播、竊密、詐騙、投放惡意軟件、竊取加密貨幣等非法活動。

據(jù)Cyberint的技術(shù)報(bào)告披露，UULoader通過偽裝成合法應(yīng)用程序的惡意安裝程序，主要針對韓語和中文用戶。這些惡意軟件通常以微軟柜文件（.cab）格式分發(fā)，內(nèi)部包含兩個(gè)核心可執(zhí)行文件，一個(gè)為.exe文件，另一個(gè)為.dll文件。這些文件的文件頭已被剝離，使其難以被傳統(tǒng)檢測工具識別。

值得注意的是，UULoader的代碼中包含了中文字符串，且嵌入的DLL文件中存在程序數(shù)據(jù)庫（PDB）文件，進(jìn)一步指向其開發(fā)者可能為中文母語者。Cyberint指出，該惡意軟件利用合法的二進(jìn)制文件進(jìn)行DLL側(cè)加載，最終加載的文件名為“XamlHost.sys”，實(shí)際上是遠(yuǎn)程訪問工具（RAT）或Mimikatz憑證竊取器。

此外，UULoader的安裝文件中包含了Visual Basic腳本（.vbs），負(fù)責(zé)啟動Realtek等合法可執(zhí)行文件，同時(shí)部分樣本還會運(yùn)行誘餌文件，作為混淆策略。例如，若偽裝為Chrome更新程序，誘餌文件就是真實(shí)的Chrome更新程序。

UULoader攻擊路徑

這并非UULoader首次曝光，早在上個(gè)月，網(wǎng)絡(luò)安全公司eSentire就曾報(bào)告過類似的攻擊鏈條，攻擊者通過偽造的Google Chrome網(wǎng)站傳播Gh0st RAT，目標(biāo)為中國的Windows用戶。

UULoader的出現(xiàn)恰逢近年來以加密貨幣為誘餌的釣魚攻擊激增。攻擊者利用免費(fèi)托管服務(wù)搭建釣魚網(wǎng)站，冒充Coinbase、Exodus和MetaMask等加密錢包服務(wù)，誘導(dǎo)用戶點(diǎn)擊惡意鏈接。Symantec的報(bào)告指出，攻擊者利用Gitbook和Webflow等服務(wù)，創(chuàng)建仿冒加密錢包的域名，誘騙受害者訪問釣魚頁面。

不僅如此，部分釣魚攻擊還偽裝成印度和美國政府機(jī)構(gòu)，誘導(dǎo)用戶訪問虛假域名，竊取敏感信息，并用于進(jìn)一步的詐騙、信息傳播或惡意軟件分發(fā)。值得警惕的是，這些攻擊還濫用微軟Dynamics 365 Marketing平臺，通過創(chuàng)建子域名和發(fā)送釣魚郵件，繞過常規(guī)的郵件過濾機(jī)制。

同時(shí)，隨著生成式人工智能（GenAI）的廣泛應(yīng)用，社會工程攻擊也開始利用這一趨勢，設(shè)置偽裝成OpenAI ChatGPT的詐騙域名，用于釣魚、灰色軟件、勒索軟件等惡意活動。據(jù)Palo Alto Networks的報(bào)告顯示，超過72%的詐騙域名包含gpt或Chatgpt等與生成式AI應(yīng)用有關(guān)的關(guān)鍵詞。

面對日益復(fù)雜的境外網(wǎng)絡(luò)攻擊，中國企業(yè)和個(gè)人需提高警惕，尤其是在使用與生成式AI、加密貨幣相關(guān)的服務(wù)時(shí)，應(yīng)加強(qiáng)防范措施，避免成為網(wǎng)絡(luò)犯罪的目標(biāo)。