WikiLoader
A Proofpoint kutatói egy új rosszindulatú programot azonosítottak, amelynek célja egy második rosszindulatú program telepítése. A rosszindulatú program érdekes kijátszási technikákat és egyedi kódmegvalósításokat tartalmaz, amelyek az észlelést és az elemzést kihívást jelentővé teszik. A WikiLoader valószínűleg rosszindulatú programként lett kifejlesztve, amely bérelhető a kiberbűnözők kiválasztott szereplőinek.
A több fenyegetést jelentő szereplő által megfigyelt használat alapján a Proofpoint arra számít, hogy ezt a rosszindulatú programot valószínűleg más fenyegetés szereplői is használni fogják, különösen azok, amelyek kezdeti hozzáférési közvetítőként működnek.
Több verzió elemzése alapján a Proofpoint nagy biztonsággal értékeli, hogy ez a rosszindulatú program gyorsan fejlődik, és a fenyegetés szereplői megpróbálják bonyolultabbá tenni a betöltőt, és nehezebben letölteni a rakományt.
A WikiLoader a fenyegetés szereplői által rendszeresen megfigyelt tevékenységeken keresztül érkezik, beleértve a makró-kompatibilis dokumentumokat, a JavaScript-adattartalomhoz vezető URL-eket tartalmazó PDF-eket és a beágyazott végrehajtható fájlokat tartalmazó OneNote-mellékleteket. Így a rosszindulatú programok telepítésének megkezdéséhez felhasználói beavatkozásra van szükség. A szervezeteknek biztosítaniuk kell, hogy a makrók alapértelmezés szerint le legyenek tiltva minden alkalmazottnál, blokkolják a beágyazott külső fájlok végrehajtását a OneNote-dokumentumokban, és biztosítsák, hogy a JavaScript-fájlok alapértelmezés szerint megnyíljanak egy jegyzettömbben vagy hasonló alkalmazásban, az alapértelmezett fájlkiterjesztés-társítások csoportházirend-objektum (GPO) segítségével. ).