关于境外新型恶意软件爆发，主要针对中韩用户

　　近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。

　　一、基本内容

　　UULoader的代码中包含了中文字符串，嵌入的DLL文件中存在程序数据库(PDB)文件，其开发者可能为中文母语者。该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具(RAT)或Mimikatz凭证窃取器。

　　此外，UULoader的安装文件中包含了Visual Basic脚本(.vbs)，负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。

　　二、分析研判

　　该事件揭示了UULoader这一难以检测的新型恶意软件对中韩用户构成的严重威胁，其利用伪装、侧加载、诱饵文件等多种高级技术，结合加密货币钓鱼攻击和社会工程学的最新趋势，如生成式AI滥用，实施信息传播、窃密、诈骗等非法活动。这凸显了网络犯罪手法的复杂性和多样性，要求中国企业和个人在使用相关服务时保持高度警惕，采取更为严格的安全措施以应对不断演变的网络威胁。

　　三、应对策略

　　面对UULoader等日益复杂的境外网络攻击，中国企业和个人应采取以下应对策略和建议：

　　1、增强安全意识：提高员工和公众对网络安全的重视程度，定期进行网络安全教育和培训，了解最新的网络威胁和攻击手段，增强识别和防范能力。

　　2、谨慎处理来源不明的文件和链接：不随意下载、打开或执行来自不明来源的电子邮件附件、即时消息中的文件或网页链接，特别是那些声称来自知名公司或机构的。

　　3、定期备份数据：定期备份重要数据和文件，并存储在安全的位置(如离线存储介质或云存储服务中)，以防数据丢失或被加密勒索。

　　4、使用安全的网络连接：尽量避免在公共Wi-Fi网络上进行敏感操作，如网上银行、购物或访问加密货币钱包等。使用VPN等加密技术保护数据传输安全。

　　5、关注安全情报和警告：关注网络安全机构、行业组织和可靠媒体发布的安全情报和警告，及时了解最新的网络威胁和攻击趋势，以便采取相应的预防措施。