研究人員發(fā)現(xiàn)了一種新的惡意軟件，名為 WikiLoader 惡意軟件。之所以這樣命名，是因?yàn)樗蚓S基百科發(fā)出請(qǐng)求，希望得到內(nèi)容中包含 "The Free "字符串的響應(yīng)。

WikiLoader 惡意軟件的主要目標(biāo)是意大利企業(yè)及組織。

WikiLoader 是一種高級(jí)下載管理器，旨在部署額外的惡意有效載荷。該惡意軟件采用了巧妙的規(guī)避方法和獨(dú)特的代碼執(zhí)行，使其難以檢測(cè)和分析。

目前來看，WikiLoader 的創(chuàng)建目的可能是出租給特定的網(wǎng)絡(luò)犯罪行為者。

Proofpoint 關(guān)于 WikiLoader 的報(bào)告稱："根據(jù)觀察到的使用情況，預(yù)計(jì)這種惡意軟件很可能會(huì)被其他威脅行為者使用，特別是那些作為初始訪問代理（IAB）運(yùn)營的威脅行為者。

傳播 WikiLoader 惡意軟件的活動(dòng)

WikiLoader 惡意軟件會(huì)通過電子郵件發(fā)送給用戶，郵件附件包括 Microsoft OneNote、PDF 文檔或 Excel 表單，如下截圖所示。

Excel 附件被設(shè)計(jì)成意大利稅務(wù)局的樣子，但實(shí)際上這只是欺騙用戶的虛假文件。

網(wǎng)絡(luò)安全公司Proofpoint在其博客文章中詳細(xì)介紹了WikiLoader，作為一個(gè)下載器，它可以安裝第二個(gè)惡意軟件有效載荷，并能逃避檢測(cè)。

這種被開發(fā)的惡意軟件可以訪問網(wǎng)絡(luò)主機(jī)，并通過 HTTP cookies 外泄主機(jī)數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子被發(fā)現(xiàn)使用 Discord 的 CDN 作為文件主機(jī)。不過，尚未證實(shí) Discord 是否已被入侵。

使用 WikiLoader 的網(wǎng)絡(luò)犯罪分子在任何 Discord 聊天中上傳樣本，并將 Discord 鏈接復(fù)制到附件。

使用 WikiLoader 惡意軟件的網(wǎng)絡(luò)犯罪分子

WikiLoader 最先被一個(gè)名為 TA544 的網(wǎng)絡(luò)犯罪團(tuán)伙發(fā)現(xiàn)使用。據(jù)了解，該組織曾使用 Ursnif 惡意軟件攻擊意大利的組織。研究人員認(rèn)為，該惡意軟件主要會(huì)被作為初始訪問代理（IAB）的網(wǎng)絡(luò)犯罪分子使用。

Proofpoint的研究人員發(fā)現(xiàn)，從2022年12月開始，有近8個(gè)傳播WikiLoader惡意軟件的活動(dòng)。另一個(gè)名為TA551的組織使用WikiLoader攻擊意大利組織。

今年2月，TA544被發(fā)現(xiàn)使用另一個(gè)更新版本的WikiLoader攻擊意大利組織。

今年 3 月，TA551 再次利用附在 OneNote 文檔中的可執(zhí)行文件發(fā)送意大利語電子郵件。

今年 7 月 11 日，發(fā)現(xiàn) TA544 使用了最新版本的 WikiLoader 惡意軟件。這次活動(dòng)發(fā)送了超過 15 萬條信息，但目標(biāo)不在意大利。

WikiLoader 惡意軟件的其他詳細(xì)信息

第一個(gè)版本的 WIkiLoader 惡意軟件的 shellcode 沒有進(jìn)行太多的混淆處理，但在 2023 年 2 月 8 日發(fā)現(xiàn)的第二個(gè)版本增加了復(fù)雜性，并使用了編碼字符串。

第三個(gè)版本的 WikiLoader 惡意軟件進(jìn)行了以下升級(jí)：

• 可進(jìn)行間接系統(tǒng)調(diào)用
• 從裝載程序中滲出包含主機(jī)數(shù)據(jù)的 cookies
• 可在一小時(shí)內(nèi)執(zhí)行加載器
• Shellcode 階段是使用 NtWriteVirtualMemory 逐字節(jié)寫入的

在二月份的活動(dòng)中，攻擊者發(fā)送了偽裝成意大利快遞服務(wù)的電子郵件。該電子郵件包含安裝了WikiLoader惡意軟件的VBA宏啟用Excel文檔。

Proofpoint 博客中寫道：這一版本的 WikiLoader 包含更復(fù)雜的結(jié)構(gòu)、用于逃避自動(dòng)分析的額外停滯機(jī)制以及編碼字符串的使用。

與惡意軟件一起使用的打包下載器是為了逃避檢測(cè)和分析。WikiLoader 惡意軟件可執(zhí)行文件較小，用于下載實(shí)際有效載荷。這種機(jī)制還允許黑客控制有效載荷的傳輸。他們可以控制下載活動(dòng)的時(shí)間范圍，并加入 IP 過濾等功能。

參考鏈接：https://thecyberexpress.com/wikiloader-malware-italian-organizations/