មេរោគ WikiLoader

យុទ្ធនាការបន្លំថ្មីមួយកំពុងកំណត់គោលដៅលើស្ថាប័ននានានៅក្នុងប្រទេសអ៊ីតាលី ដោយប្រើប្រាស់មេរោគដែលបានរកឃើញថ្មីដែលមានឈ្មោះថា WikiLoader។ កម្មវិធីទាញយកដ៏ទំនើបនេះមានគោលបំណងចម្បងក្នុងការដំឡើងមេរោគទីពីរនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ ដើម្បីជៀសវាងការរកឃើញ WikiLoader ប្រើយន្តការគេចវេសជាច្រើន ដែលបង្ហាញថាវាអាចត្រូវបានរចនាឡើងជា malware-for-hire ដែលមានសម្រាប់តួអង្គគំរាមកំហែងតាមអ៊ីនធឺណិតជាក់លាក់។ ឈ្មោះ 'WikiLoader' គឺបានមកពីឥរិយាបថរបស់មេរោគក្នុងការធ្វើសំណើទៅកាន់វិគីភីឌា និងផ្ទៀងផ្ទាត់ថាតើការឆ្លើយតបមានខ្សែអក្សរ 'The Free' ដែរឬទេ។

ការមើលឃើញដំបូងនៃមេរោគនេះនៅក្នុងព្រៃបានកើតឡើងនៅថ្ងៃទី 27 ខែធ្នូ ឆ្នាំ 2022 ពាក់ព័ន្ធនឹងការឈ្លានពានដែលដំណើរការដោយតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា TA544 ដែលត្រូវបានគេស្គាល់ថា Bamboo Spider និង Zeus Panda ផងដែរ។ គួរកត់សម្គាល់ថាបន្ទុកចុងក្រោយនៅក្នុងការឆ្លងមេរោគ WikiLoader ហាក់ដូចជា Ursnif (Gozi) ។ នេះគឺជាការគំរាមកំហែងពីមេរោគដ៏ល្បីមួយ ដែលបំពាក់ដោយមុខងារធនាគារ Trojan, អ្នកលួច និង spyware ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ប្រើល្បិចបន្លំដើម្បីចែកចាយ WikiLoader

យុទ្ធនាការបន្លំភ្ជាប់ទៅ WikiLoader វិលជុំវិញការប្រើប្រាស់អ៊ីមែលដែលមានឯកសារភ្ជាប់ផ្សេងៗដូចជា Microsoft Excel, Microsoft OneNote ឬឯកសារ PDF ។ ឯកសារភ្ជាប់ទាំងនេះដើរតួជាការទាក់ទាញដើម្បីដាក់ពង្រាយ payloader downloader ដែលជួយសម្រួលដល់ការដំឡើងកម្មវិធី Ursnif malware ។

ការសង្កេតគួរឱ្យចាប់អារម្មណ៍មួយគឺថា WikiLoader ដែលជាមេរោគដែលទទួលខុសត្រូវចំពោះការឆ្លងដំបូងហាក់ដូចជាត្រូវបានចែករំលែកក្នុងចំណោមក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតជាច្រើន។ ក្រុមមួយដែលមានឈ្មោះថា TA551 ឬ Shathak ថ្មីៗនេះត្រូវបានគេសង្កេតឃើញដោយប្រើ WikiLoader នៅក្នុងសកម្មភាពរបស់ខ្លួននៅចុងខែមីនា ឆ្នាំ 2023។

នៅពាក់កណ្តាលខែកក្កដា ឆ្នាំ 2023 យុទ្ធនាការបន្ថែមទៀតដែលធ្វើឡើងដោយតួអង្គគំរាមកំហែង TA544 បានប្រើប្រាស់ឯកសារភ្ជាប់ PDF ដែលប្រធានបទគណនេយ្យ។ ឯកសារភ្ជាប់ទាំងនេះមាន URLs ដែលនៅពេលចុច នាំទៅដល់ការចែកចាយឯកសារប័ណ្ណសារហ្ស៊ីប។ នៅក្នុងបណ្ណសារនេះ ឯកសារ JavaScript ទទួលខុសត្រូវចំពោះការទាញយក និងដំណើរការមេរោគ WikiLoader ដែលចាប់ផ្តើមខ្សែសង្វាក់វាយប្រហារ។

WikiLoader ប្រើបច្ចេកទេសគេចចេញដ៏ទំនើប

WikiLoader ប្រើប្រាស់បច្ចេកទេស obfuscation ដ៏រឹងមាំ និងប្រើប្រាស់វិធីសាស្ត្រគេចវេស ដើម្បីចៀសវៀងកម្មវិធីសុវត្ថិភាព endpoint ដោយធានាថាវាជៀសវាងការរកឃើញក្នុងអំឡុងពេលបរិយាកាសវិភាគដោយស្វ័យប្រវត្តិ។ លើសពីនេះ វាត្រូវបានរចនាឡើងដោយគោលបំណងដើម្បីទាញយក និងប្រតិបត្តិនូវកម្មវិធី shellcode payload ដែលបង្ហោះនៅលើ Discord ដែលនៅទីបំផុតបម្រើជា launchpad សម្រាប់មេរោគ Ursnif ។

ដូចដែលបានបញ្ជាក់ដោយអ្នកជំនាញ WikiLoader កំពុងត្រូវបានបង្កើតយ៉ាងសកម្ម ហើយអ្នកបង្កើតរបស់វាអនុវត្តការផ្លាស់ប្តូរជាប្រចាំដើម្បីរក្សាប្រតិបត្តិការសម្ងាត់របស់ពួកគេដោយមិនបានរកឃើញ និងនៅក្រោមរ៉ាដា។

វាប្រហែលជាខ្ពស់ដែលតួអង្គគំរាមកំហែងឧក្រិដ្ឋកម្មកាន់តែច្រើននឹងទទួលយក WikiLoader ជាពិសេសអ្នកដែលត្រូវបានកំណត់ថាជាឈ្មួញកណ្តាលចូលដំណើរការដំបូង (IABs) ដែលត្រូវបានគេស្គាល់ថាសម្រាប់ចូលរួមក្នុងសកម្មភាពដែលជារឿយៗនាំទៅរកការវាយប្រហារដោយ ransomware ។ ក្រុមអ្នកការពារ និងសន្តិសុខតាមអ៊ីនធឺណិតត្រូវតែមានការប្រុងប្រយ័ត្ន និងជូនដំណឹងអំពីមេរោគថ្មីនេះ និងភាពស្មុគ្រស្មាញពាក់ព័ន្ធនឹងការចែកចាយបន្ទុក។ ការចាត់វិធានការយ៉ាងសកម្មដើម្បីការពារអង្គការរបស់ពួកគេប្រឆាំងនឹងការកេងប្រវ័ញ្ចដែលមានសក្តានុពលគឺចាំបាច់ក្នុងការកាត់បន្ថយផលប៉ះពាល់របស់វា។