Новый вредоносный софт UULoader активно используется хакерами для доставки опасных программ, таких как Gh0st RAT и Mimikatz. Обнаруженная исследователями из компании Cyberint, эта вредоносная программа распространяетсячерез поддельные установочные файлы легитимных приложений, нацеленные на пользователей, говорящих на корейском и китайском языках.
Исследователи отмечают, что UULoader, вероятно, создан именно носителем китайского языка. Это подтверждается наличием китайских строк в файлах базы данных программ (PDB), встроенных в DLL-файл.
Главная фишка UULoader заключается в том, что его ключевые файлы находятся в архиве Microsoft Cabinet (.cab). В архиве содержатся два исполняемых файла (.exe и.dll), у которых удалены заголовки файлов. Один из этих файлов является легитимным, но уязвимым для метода DLL Sideloading, который позволяет загружать DLL-файл, запускающий финальную стадию атаки.
На финальном этапе загружается замаскированный файл “XamlHost.sys”, который на самом деле является инструментом удалённого доступа. По усмотрению хакеров, таким инструментом может быть как Gh0st RAT, так и Mimikatz.
Внутри установочного MSI-файла также присутствует Visual Basic Script (.vbs), запускающий исполняемый файл, например, от Realtek. Некоторые образцы UULoader также используют файл-приманку, чтобы отвлечь внимание жертвы. Например, если вредоносная программа притворяется обновлением для Google Chrome, то этот файл будет самым настоящим обновлением для Chrome.
Отметим, что ранее поддельные установочные файлы Google Chrome уже не раз использовались для распространения Gh0st RAT. Так, в прошлом месяце компания eSentire сообщалаоб атаке, нацеленной на китайских пользователей Windows, в ходе которой использовался фальшивый сайт Google Chrome.
Вредоносная кампания по распространению UULoader и подобных зловредных программ наглядно демонстрирует, как киберпреступники продолжают совершенствовать свои методы обмана, используя легитимные программы для скрытного распространения вредоносного ПО. Крайне важно соблюдать бдительность при загрузке и установке программ, особенно из непроверенных источников, поскольку даже привычные приложения могут стать инструментами хакеров для кражи данных и прочих атак.