新的恶意软件 WikiLoader 针对意大利组织

news2024/12/24 20:57:16

研究人员发现了一种新的恶意软件,名为 WikiLoader 恶意软件。之所以这样命名,是因为它向维基百科发出请求,希望得到内容中包含 "The Free "字符串的响应。

WikiLoader 恶意软件的主要目标是意大利企业及组织。

WikiLoader 是一种高级下载管理器,旨在部署额外的恶意有效载荷。该恶意软件采用了巧妙的规避方法和独特的代码执行,使其难以检测和分析。

目前来看,WikiLoader 的创建目的可能是出租给特定的网络犯罪行为者。

Proofpoint 关于 WikiLoader 的报告称:"根据观察到的使用情况,预计这种恶意软件很可能会被其他威胁行为者使用,特别是那些作为初始访问代理(IAB)运营的威胁行为者。

传播 WikiLoader 恶意软件的活动

WikiLoader 恶意软件会通过电子邮件发送给用户,邮件附件包括 Microsoft OneNote、PDF 文档或 Excel 表单,如下截图所示。

Excel 附件被设计成意大利税务局的样子,但实际上这只是欺骗用户的虚假文件。

网络安全公司Proofpoint在其博客文章中详细介绍了WikiLoader,作为一个下载器,它可以安装第二个恶意软件有效载荷,并能逃避检测。

这种被开发的恶意软件可以访问网络主机,并通过 HTTP cookies 外泄主机数据。网络犯罪分子被发现使用 Discord 的 CDN 作为文件主机。不过,尚未证实 Discord 是否已被入侵。

使用 WikiLoader 的网络犯罪分子在任何 Discord 聊天中上传样本,并将 Discord 链接复制到附件。

使用 WikiLoader 恶意软件的网络犯罪分子

WikiLoader 最先被一个名为 TA544 的网络犯罪团伙发现使用。据了解,该组织曾使用 Ursnif 恶意软件攻击意大利的组织。研究人员认为,该恶意软件主要会被作为初始访问代理(IAB)的网络犯罪分子使用。

Proofpoint的研究人员发现,从2022年12月开始,有近8个传播WikiLoader恶意软件的活动。另一个名为TA551的组织使用WikiLoader攻击意大利组织。

今年2月,TA544被发现使用另一个更新版本的WikiLoader攻击意大利组织。

今年 3 月,TA551 再次利用附在 OneNote 文档中的可执行文件发送意大利语电子邮件。

今年 7 月 11 日,发现 TA544 使用了最新版本的 WikiLoader 恶意软件。这次活动发送了超过 15 万条信息,但目标不在意大利。

WikiLoader 恶意软件的其他详细信息

第一个版本的 WIkiLoader 恶意软件的 shellcode 没有进行太多的混淆处理,但在 2023 年 2 月 8 日发现的第二个版本增加了复杂性,并使用了编码字符串。

第三个版本的 WikiLoader 恶意软件进行了以下升级:

  • 可进行间接系统调用
  • 从装载程序中渗出包含主机数据的 cookies
  • 可在一小时内执行加载器
  • Shellcode 阶段是使用 NtWriteVirtualMemory 逐字节写入的

在二月份的活动中,攻击者发送了伪装成意大利快递服务的电子邮件。该电子邮件包含安装了WikiLoader恶意软件的VBA宏启用Excel文档。

Proofpoint 博客中写道:这一版本的 WikiLoader 包含更复杂的结构、用于逃避自动分析的额外停滞机制以及编码字符串的使用。

与恶意软件一起使用的打包下载器是为了逃避检测和分析。WikiLoader 恶意软件可执行文件较小,用于下载实际有效载荷。这种机制还允许黑客控制有效载荷的传输。他们可以控制下载活动的时间范围,并加入 IP 过滤等功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/828359.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

微信到底可以添加多少好友?怎么避免加人频繁?

微信作为一款用户月活跃量超过10亿的社交聊天软件,已经成为人们生活中不可或缺的一部分。 微信好友上限1万个 01 不知道有没有小伙伴好奇,微信到底可以添加多少好友?正好这个话题也上热搜了,我们就来了解一下。 有网友表示&…

Android安卓实战项目(6)---健身运动 APP实现健身运动倒计时显示提醒(源码在文末)

Android安卓实战项目(6)—健身运动 APP实现健身运动倒计时(源码在文末🐕🐕🐕) 一.项目运行介绍 【bilibili演示】 https://www.bilibili.com/video/BV1414y167WH/?share_sourcecopy_web&…

接受平庸,特别是程序员

目录 方向一:简述自己的感受 方向二:聊聊你想怎么做 方向三:如何调整自己的心态 虽然清楚知识需要靠时间沉淀,但在看到自己做不出来的题别人会做,自己写不出的代码别人会写时还是会感到焦虑怎么办? 你是…

棕榈酰四肽-7——促进皮肤自然愈合和再生

简介 棕榈酰四肽-7(Palmitoyl Tetrapeptide-7)可以延缓和抑制过量细胞白介素的生成,从而抑制一些不必要不恰当的炎症反应和糖基化损伤。在体外实验中,科学家们发现在细胞白介素生成时,“棕榈酰四肽-7诱导呈现出一种显…

2023-08-02 LeetCode每日一题(翻转卡片游戏)

2023-08-02每日一题 一、题目编号 822. 翻转卡片游戏二、题目链接 点击跳转到题目位置 三、题目描述 在桌子上有 N 张卡片,每张卡片的正面和背面都写着一个正数(正面与背面上的数有可能不一样)。 我们可以先翻转任意张卡片,…

【Unity3D】Shader Graph简介

1 Shader Graph 简介 Shader Graph 是 Unity 官方在 2018 年推出的 Shader 制作插件,是图形化的 Shader 制作工具,类似于 Blender 中的 Shader Editor 和 UE 中的 Material Editor,它使用流程图的形式表达顶点变换和片元着色的流程。 Shader …

GC垃圾回收器【入门笔记】

GC:Garbage Collectors 垃圾回收器 C/C,手动回收内存;难调试、门槛高。忘记回收、多次回收等问题 Java、Golang等,有垃圾回收器:自动回收,技术门槛降低 一、如何定位垃圾? https://www.infoq.c…

<C++>二、 类和对象

1.面向对象和面向过程 C语言是面向过程的,关注的是过程,分析出求解问题的步骤, 通过函数调用逐步解决问题。 C是基于面向对象的,关注的是对象,将一件事情拆分成不同的对象,靠对象之间的交互完成。 2. C类 C…

直击运维痛点,大数据计算引擎 EasyMR 的监控告警设计优化之路

当企业的业务发展到一定的阶段时,在系统中引入监控告警系统来对系统/业务进行监控是必备的流程。没有监控或者没有一个好的监控,会导致开发人员无法快速判断系统是否健康;告警的实质则是“把人当服务用”,用告警通知人的方式去干预…

小研究 - 微服务系统服务依赖发现技术综述(二)

微服务架构得到了广泛的部署与应用, 提升了软件系统开发的效率, 降低了系统更新与维护的成本, 提高了系统的可扩展性. 但微服务变更频繁、异构融合等特点使得微服务故障频发、其故障传播快且影响大, 同时微服务间复杂的调用依赖关系或逻辑依赖关系又使得其故障难以被及时、准确…

SVN代码迁移到Git方法

1.在SVN上新增一个项目 一、点击新建项目 二、创建空白项目 三、填入项目信息 四、myProject项目模板创建成功 2.将代码提交到Git 一、新建一个文件夹myProject,将从SVN下载过来的代码复制一份拷贝到该文件夹下,注意:不要把.SVN文件拷…

兴达易控Profinet转Modbus RTU主站模式的配置流程

兴达易控Profinet转Modbus RTU主站网关,能够实现不同协议之间的设备数据传输。这种设备具有高度的可靠性和稳定性,能够满足工业领域对通信设备的严格要求。同时,兴达易控Profinet转Modbus RTU主站还具备简单易用的特点,使用现场能…

安防视频监控平台EasyCVR修改参数提示database or disk is full的原因排查

EasyDarwin开源流媒体视频EasyCVR安防监控平台可提供视频监控直播、云端录像、云存储、录像检索与回看、智能告警、平台级联、云台控制、语音对讲、智能分析等能力。视频监控综合管理平台EasyCVR具备视频汇聚融合能力,平台基于云边端一体化架构,具有强大…

查看内存类型和频率 - Win系统

查看内存类型和频率 - Win系统 问题方法1(推荐):使用命令行方法2:使用CPU-Z方法3:使用AIDA64 问题 我们在为电脑扩充内存时需要提前了解电脑内存的类型和频率,防止内存不兼容,但在设备管理器和…

从零实现深度学习框架——Transformer从菜鸟到高手(一)

引言 💡本文为🔗[从零实现深度学习框架]系列文章内部限免文章,更多限免文章见 🔗专栏目录。 本着“凡我不能创造的,我就不能理解”的思想,系列文章会基于纯Python和NumPy从零创建自己的类PyTorch深度学习框…

Node版本的切换之Window

步骤一:按健winR窗口,键盘输入cmd,然后回车。 步骤二: 输入where node,显示 步骤三:进入node.exe目录,并且删除父目录文件夹即:nodejs文件夹 步骤四:从官网下载版本管理并安装&#…

亚马逊店铺的回款周期是多久?

现如今,开亚马逊店铺可是一个技术活,一旦有一个环节,或者是一件事情没有做好,对整个亚马逊店铺过程中影响都是十分巨大的,不少亚马逊卖家就吃过这方面的亏。 很多亚马逊卖家就是吃亏在这些方面,现在要想开…

线程数突增!领导:谁再这么写就滚蛋!

今天给大家分享一个线上问题引出的一次思考,过程比较长,但是挺有意思。 今天上班把需求写完,出于学习(摸鱼)的心理上skywalking看看,突然发现我们的一个应用,应用内线程数超过900条&#xff0c…

高忆管理:散户可以做空股票吗?散户如何做空?

在美国股市上,投资者能够进行做多操作,也能够进行做空操作,那么,在a股上,散户能够做空股票吗?散户如何做空?下面高忆管理为我们预备了相关内容,以供参考。 在a股市场上,散…

2023年最适合您业务的免费CRM——SaleSmartl

使用免费的CRM软件,例如SaleSmartly,可以协助您更好地发展您的业务,是提高生产力、减少错误、自动化重复性任务和享受交易机会的宝贵工具。您可以将多个渠道的客户信息集中在一个平台上,并允许员工访问,以便给他们分配…