विकिलोडर मालवेयर
एउटा नयाँ फिसिङ अभियानले इटालीका संस्थाहरूलाई लक्षित गर्दै, WikiLoader नामको मालवेयरको नयाँ पत्ता लगाएको स्ट्रेन प्रयोग गर्दै। यो परिष्कृत डाउनलोडरसँग सम्झौता गरिएका उपकरणहरूमा मालवेयरको दोस्रो पेलोड स्थापना गर्ने प्राथमिक उद्देश्य छ। पत्ता लगाउनबाट बच्नको लागि, विकिलोडरले धेरै चोरी संयन्त्रहरू प्रयोग गर्दछ, यसले संकेत गर्दछ कि यो मालवेयर-फर-भाडाको रूपमा डिजाइन गरिएको हुन सक्छ, विशिष्ट साइबर अपराधिक खतरा अभिनेताहरूको लागि उपलब्ध छ। 'विकिलोडर' नाम विकिपिडियामा अनुरोध गर्ने र प्रतिक्रियामा 'द फ्री' स्ट्रिङ समावेश छ कि छैन भनी प्रमाणित गर्ने मालवेयरको व्यवहारबाट आएको हो।
जंगली मा यो मालवेयर को पहिलो दृश्य 27 डिसेम्बर, 2022 मा भएको थियो, TA544 को रूपमा चिनिने एक खतरा अभिनेता द्वारा संचालित एक घुसपैठ सेट को सम्बन्ध मा, जसलाई बाम्बू स्पाइडर र Zeus Panda को रूप मा पनि चिनिन्छ। उल्लेखनीय रूपमा, WikiLoader संक्रमणहरूमा अन्तिम पेलोड Ursnif (Gozi) जस्तो देखिन्छ। यो बैंकिङ ट्रोजन, चोर र स्पाइवेयर क्षमताहरु संग सुसज्जित एक कुख्यात मालवेयर खतरा हो।
साइबर अपराधीहरूले WikiLoader डेलिभर गर्न फिसिङ लुर्स प्रयोग गर्छन्
WikiLoader मा जडान गरिएका फिसिङ अभियानहरू Microsoft Excel, Microsoft OneNote वा PDF फाइलहरू जस्ता विभिन्न संलग्नकहरू समावेश भएका इमेलहरूको प्रयोगको वरिपरि घुम्छन्। यी एट्याचमेन्टहरूले डाउनलोडर पेलोड डिप्लोय गर्न लालचको रूपमा कार्य गर्दछ, जसले, फलस्वरूप, Ursnif मालवेयरको स्थापनालाई सुविधा दिन्छ।
एउटा चाखलाग्दो अवलोकन यो हो कि WikiLoader, प्रारम्भिक संक्रमणको लागि जिम्मेवार मालवेयर, धेरै साइबर अपराध समूहहरू बीच साझा गरिएको देखिन्छ। यस्तो एउटा समूह, जसलाई TA551 वा Shathak भनिन्छ, हालै मार्च 2023 को अन्त्यसम्मका गतिविधिहरूमा WikiLoader प्रयोग गरेको पाइन्छ।
जुलाई 2023 को मध्यमा, खतरा अभिनेता TA544 द्वारा गरिएको थप अभियानहरूले लेखा-थीम्ड PDF एट्याचमेन्टहरू प्रयोग गरे। यी एट्याचमेन्टहरूमा URL हरू थिए, जसलाई क्लिक गर्दा, ZIP अभिलेख फाइलको डेलिभरीमा निम्त्याउँछ। यस अभिलेख भित्र, जाभास्क्रिप्ट फाइलले विकीलोडर मालवेयर डाउनलोड गर्न र कार्यान्वयन गर्ने, आक्रमण श्रृंखला सुरु गर्न जिम्मेवार छ।
विकिलोडरले परिष्कृत चोरी प्रविधिहरू प्रयोग गर्दछ
विकिलोडरले बलियो अस्पष्टता प्रविधिहरू प्रयोग गर्दछ र एन्डपोइन्ट सेक्युरिटी सफ्टवेयरलाई बाइपास गर्न, स्वचालित विश्लेषण वातावरणहरूमा पत्ता लगाउनबाट बच्न सुनिश्चित गर्नका लागि बचाउने रणनीतिहरू प्रयोग गर्दछ। यसबाहेक, यो उद्देश्यपूर्वक Discord मा होस्ट गरिएको शेलकोड पेलोड पुन: प्राप्त गर्न र कार्यान्वयन गर्न डिजाइन गरिएको हो, अन्ततः Ursnif मालवेयरको लागि लन्चप्याडको रूपमा सेवा गर्दै।
विज्ञहरूले संकेत गरे अनुसार, विकिलोडर सक्रिय रूपमा विकास भइरहेको छ, र यसका सिर्जनाकर्ताहरूले तिनीहरूको गुप्त सञ्चालनहरू पत्ता नलागेको र रडार अन्तर्गत कायम राख्न नियमित रूपमा परिवर्तनहरू लागू गर्छन्।
यो अत्यधिक सम्भावित छ कि अधिक आपराधिक खतरा अभिनेताहरूले विकिलोडरलाई अपनाउनेछन्, विशेष गरी प्रारम्भिक पहुँच ब्रोकरहरू (IABs) को रूपमा पहिचान गरिएका, गतिविधिहरूमा संलग्न हुनका लागि परिचित छन् जसले प्राय: ransomware आक्रमणहरू निम्त्याउँछ। रक्षकहरू र साइबरसुरक्षा टोलीहरू यस नयाँ मालवेयर र पेलोड डेलिभरीमा संलग्न जटिलताहरूको बारेमा सचेत र सूचित हुनुपर्छ। सम्भावित शोषण विरुद्ध आफ्नो संगठन को सुरक्षा को लागी सक्रिय उपायहरु लिनु यसको प्रभाव कम गर्न को लागी आवश्यक छ।
