君子以泽,玄幻小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

新的惡意軟件WikiLoader針對(duì)意大利組織

研究人員發(fā)現(xiàn)了一種新的惡意軟件，名為 WikiLoader 惡意軟件。之所以這樣命名，是因?yàn)樗蚓S基百科發(fā)出請(qǐng)求，希望得到內(nèi)容中包含 "The Free "字符串的響應(yīng)。

成都創(chuàng)新互聯(lián)長(zhǎng)期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為貢覺(jué)企業(yè)提供專(zhuān)業(yè)的成都網(wǎng)站建設(shè)、成都做網(wǎng)站，貢覺(jué)網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

WikiLoader 惡意軟件的主要目標(biāo)是意大利企業(yè)及組織。

WikiLoader 是一種高級(jí)下載管理器，旨在部署額外的惡意有效載荷。該惡意軟件采用了巧妙的規(guī)避方法和獨(dú)特的代碼執(zhí)行，使其難以檢測(cè)和分析。

目前來(lái)看，WikiLoader 的創(chuàng)建目的可能是出租給特定的網(wǎng)絡(luò)犯罪行為者。

Proofpoint 關(guān)于 WikiLoader 的報(bào)告稱(chēng)："根據(jù)觀察到的使用情況，預(yù)計(jì)這種惡意軟件很可能會(huì)被其他威脅行為者使用，特別是那些作為初始訪問(wèn)代理（IAB）運(yùn)營(yíng)的威脅行為者。

傳播 WikiLoader 惡意軟件的活動(dòng)

WikiLoader 惡意軟件會(huì)通過(guò)電子郵件發(fā)送給用戶，郵件附件包括 Microsoft OneNote、PDF 文檔或 Excel 表單，如下截圖所示。

Excel 附件被設(shè)計(jì)成意大利稅務(wù)局的樣子，但實(shí)際上這只是欺騙用戶的虛假文件。

網(wǎng)絡(luò)安全公司Proofpoint在其博客文章中詳細(xì)介紹了WikiLoader，作為一個(gè)下載器，它可以安裝第二個(gè)惡意軟件有效載荷，并能逃避檢測(cè)。

這種被開(kāi)發(fā)的惡意軟件可以訪問(wèn)網(wǎng)絡(luò)主機(jī)，并通過(guò) HTTP cookies 外泄主機(jī)數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子被發(fā)現(xiàn)使用 Discord 的 CDN 作為文件主機(jī)。不過(guò)，尚未證實(shí) Discord 是否已被入侵。

使用 WikiLoader 的網(wǎng)絡(luò)犯罪分子在任何 Discord 聊天中上傳樣本，并將 Discord 鏈接復(fù)制到附件。

使用 WikiLoader 惡意軟件的網(wǎng)絡(luò)犯罪分子

WikiLoader 最先被一個(gè)名為 TA544 的網(wǎng)絡(luò)犯罪團(tuán)伙發(fā)現(xiàn)使用。據(jù)了解，該組織曾使用 Ursnif 惡意軟件攻擊意大利的組織。研究人員認(rèn)為，該惡意軟件主要會(huì)被作為初始訪問(wèn)代理（IAB）的網(wǎng)絡(luò)犯罪分子使用。

Proofpoint的研究人員發(fā)現(xiàn)，從2022年12月開(kāi)始，有近8個(gè)傳播WikiLoader惡意軟件的活動(dòng)。另一個(gè)名為T(mén)A551的組織使用WikiLoader攻擊意大利組織。

今年2月，TA544被發(fā)現(xiàn)使用另一個(gè)更新版本的WikiLoader攻擊意大利組織。

今年 3 月，TA551 再次利用附在 OneNote 文檔中的可執(zhí)行文件發(fā)送意大利語(yǔ)電子郵件。

今年 7 月 11 日，發(fā)現(xiàn) TA544 使用了最新版本的 WikiLoader 惡意軟件。這次活動(dòng)發(fā)送了超過(guò) 15 萬(wàn)條信息，但目標(biāo)不在意大利。

WikiLoader 惡意軟件的其他詳細(xì)信息

第一個(gè)版本的 WIkiLoader 惡意軟件的 shellcode 沒(méi)有進(jìn)行太多的混淆處理，但在 2023 年 2 月 8 日發(fā)現(xiàn)的第二個(gè)版本增加了復(fù)雜性，并使用了編碼字符串。

第三個(gè)版本的 WikiLoader 惡意軟件進(jìn)行了以下升級(jí)：

可進(jìn)行間接系統(tǒng)調(diào)用
從裝載程序中滲出包含主機(jī)數(shù)據(jù)的 cookies
可在一小時(shí)內(nèi)執(zhí)行加載器
Shellcode 階段是使用 NtWriteVirtualMemory 逐字節(jié)寫(xiě)入的

在二月份的活動(dòng)中，攻擊者發(fā)送了偽裝成意大利快遞服務(wù)的電子郵件。該電子郵件包含安裝了WikiLoader惡意軟件的VBA宏啟用Excel文檔。

Proofpoint 博客中寫(xiě)道：這一版本的 WikiLoader 包含更復(fù)雜的結(jié)構(gòu)、用于逃避自動(dòng)分析的額外停滯機(jī)制以及編碼字符串的使用。

與惡意軟件一起使用的打包下載器是為了逃避檢測(cè)和分析。WikiLoader 惡意軟件可執(zhí)行文件較小，用于下載實(shí)際有效載荷。這種機(jī)制還允許黑客控制有效載荷的傳輸。他們可以控制下載活動(dòng)的時(shí)間范圍，并加入 IP 過(guò)濾等功能。

參考鏈接：https://thecyberexpress.com/wikiloader-malware-italian-organizations/

分享名稱(chēng)：新的惡意軟件WikiLoader針對(duì)意大利組織
當(dāng)前URL：http://fisionsoft.com.cn/article/dhhhjic.html

新聞中心

傳播 WikiLoader 惡意軟件的活動(dòng)

使用 WikiLoader 惡意軟件的網(wǎng)絡(luò)犯罪分子

WikiLoader 惡意軟件的其他詳細(xì)信息

其他資訊