An toàn thông tin

Phần mềm độc hại WikiLoader dùng nhiều cơ chế tránh bị phát hiện

Hạnh Tâm 09:03 02/08/2023

Các tổ chức ở Ý là mục tiêu của một chiến dịch lừa đảo mới. Chúng sử dụng một mềm độc hại mới có tên WikiLoader để cài đặt một trojan ngân hàng, phần mềm đánh cắp và phần mềm gián điệp có tên Ursnif (hay còn gọi là Gozi).

Công ty bảo mật Proofpoint cho biết: “Đây là một trình tải xuống rất tinh vi với mục tiêu là cài đặt phần mềm độc hại thứ hai. Phần mềm độc hại này sử dụng nhiều cơ chế để tránh bị phát hiện và có khả năng đã được phát triển dưới dạng phần mềm cho thuê”.

Lý do chúng được các nhà bảo mật đặt tên là WikiLoader vì nó đưa ra yêu cầu tới Wikipedia và kiểm tra xem phản hồi có chuỗi "miễn phí" hay không.

a1.jpg

Công ty cho biết, lần đầu tiên họ phát hiện ra phần mềm độc hại này vào ngày 27/12/2022, liên quan đến một vụ xâm phạm do một tác nhân đe dọa có tên là TA544, hay còn được gọi là “Bamboo Spider” và “Zeus Panda”.

Các chiến dịch tập trung vào việc sử dụng email có chứa các tệp Microsoft Excel, Microsoft OneNote hoặc PDF đính kèm như một “mồi nhử” để triển khai trình tải xuống, sau đó được sử dụng để cài đặt Ursnif.

Trong một dấu hiệu cho thấy WikiLoader được chia sẻ giữa nhiều nhóm tội phạm mạng, tác nhân đe dọa có tên TA551 (hay còn gọi là Shathak) cũng đã được quan sát thấy đang sử dụng phần mềm độc hại này vào cuối tháng 3/2023.

Các chiến dịch TA544 gần đây được phát hiện vào giữa tháng 7/2023 đã sử dụng những chủ đề về kế toán để phát tán các tệp PDF đính kèm các URL. Khi người dùng nhấp vào thì tệp lưu trữ ZIP sẽ được phát tán và từ đó, tệp này lại được đóng gói dưới dạng tệp JavaScript để tải xuống và chạy WikiLoader.

WikiLoader gây một sự xáo trộn nặng nề và nó có khả năng lẩn tránh để vượt qua phần mềm bảo mật điểm cuối cũng như không để bị phát hiện trong môi trường phân tích tự động. Nó cũng được thiết kế để truy xuất và chạy một shellcode (một loại mã máy) được lưu trữ trên Discord (một ứng dụng cho phép người dùng giao tiếp lẫn nhau bằng giọng nói), tải trọng này sau cùng được sử dụng để khởi chạy Ursnif.

Selena Larson, nhà phân tích tình báo mối đe dọa cao cấp tại Proofpoint, cho biết: “Hiện nay, WikiLoader đang được phát triển tích cực và các tác giả của nó dường như thường xuyên thực hiện các thay đổi để tránh bị phát hiện. Có khả năng các tin tặc sẽ thường xuyên sử dụng điều phần mềm này, đặc biệt là những kẻ được gọi là các nhà môi giới truy cập ban đầu (initial access brokers - IABs) để tiến hành hoạt động tạo ransomware. Các nhà bảo mật cần nắm được về phần mềm độc hại mới này và các hoạt động liên quan đến phân phối payload của chúng để thực hiện các bước để bảo vệ các tổ chức của mình khỏi sự khai thác"./.

Bài liên quan
  • Phần mềm độc hại trong tệp PDF - rủi ro lớn tiếp của doanh nghiệp
    Với sự phổ biến của tệp PDF trong việc chia sẻ thông tin và tài liệu, các tin tặc đã tận dụng điều này để nhắm mục tiêu tấn công người dùng. Những tệp PDF có thể được chèn mã độc ngầm, hoặc các liên kết và điều hướng người dùng đến các trang web nguy hiểm.
Nổi bật Tạp chí Thông tin & Truyền thông
  • Bưu điện Việt Nam đảm bảo không gián đoạn dịch vụ khi thay đổi địa giới hành chính
    Bưu điện Việt Nam đã chủ động triển khai hàng loạt giải pháp đồng bộ để đảm bảo dịch vụ không gián đoạn, người dân không bị ảnh hưởng và không phát sinh thêm chi phí trong bối cảnh thay đổi địa giới hành chính từ ngày 1/7/2025.
  • AI có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp
    Trí tuệ nhân tạo (AI) có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp hàng năm đến năm 2050. Điều này đã được Deloitte Toàn cầu đưa ra trong báo cáo mới đây.
  • AI lõi "Make in Viet Nam" được xếp hạng Top 12 thế giới
    Trong bối cảnh chuyển đổi số, chuyển đổi AI tại Việt Nam đang diễn ra, công nghệ OCR (Nhận dạng ký tự quang học) ngày càng giữ vai trò quan trọng trong việc số hóa tài liệu, tự động hóa quy trình nghiệp vụ, tiết kiệm chi phí và nâng cao hiệu quả quản trị.
  • Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây?
    Khi cuộc tranh luận về việc nên triển khai hệ thống máy chủ tại chỗ hay trên đám mây đã dần lắng xuống, doanh nghiệp (DN) giờ đây lại phải đối mặt với một bài toán khác khó khăn hơn: làm thế nào để bảo mật hiệu quả môi trường đa đám mây (multicloud)?
  • Cỗ máy gia tốc từ Nghị quyết 57: Một bài học sống động
    Sau nửa năm triển khai Nghị quyết 57-NQ/TW của Bộ Chính trị (2/1/2025 – 29/6/2025), CT Group đã tổ chức Lễ Sơ kết 6 tháng triển khai Nghị quyết 57-NQ/TW với hàng loạt sản phẩm hoàn thiện rất phong phú từ Khoa học, Công nghệ, Chuyển đổi số đến Đổi mới sáng tạo. Thành tựu đạt được chính là minh chứng sống động cho khát vọng làm chủ công nghệ lõi, tạo lực đẩy đột phá và nâng cao năng lực cạnh tranh, cùng vị thế quốc gia trên tiến trình hội nhập, vì một Việt Nam hùng cường.
Đừng bỏ lỡ
Phần mềm độc hại WikiLoader dùng nhiều cơ chế tránh bị phát hiện
POWERED BY ONECMS - A PRODUCT OF NEKO