登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

恶意软件WikiLoader通过SEO中毒散布,黑客声称提供特定资安业者VPN软件作为诱饵

分享

支付動態

2024-09-05

使用资安业者Palo Alto Networks的SSL VPN服务GlobalProtect作为诱饵的攻击行动再添一桩,该公司的威胁情报团队Unit 42指出,黑客将其用来散布恶意程序加载工具WikiLoader

而这个文件解压缩后,用户很可能只看到运行档GlobalProtect64.exe,但研究人员指出,实际上ZIP档里含有超过400个文件,大部分都设为隐藏。若是用户运行上述运行档,黑客就会使用DLL侧载手法加载第1个WikiLoader组件。

接着,该DLL组件加载其他模块,并解开Shell Code,注入Windows文件总管的处理进程。

而被注入的代码将C2服务器进行通信,黑客利用遭骇的WordPress网站充当C2,并使用物联网设备常见的通信协定MQTT连接。

之后,这些被注入的代码又被加载Sysinternals公用程序组件,然后从C2伺服下载WikiLoader后门程序,并通过侧载的方式运行。但究竟后续黑客借由WikiLoader在受害电脑植入那些恶意软件,研究人员表示不清楚。

研究人员提及,攻击者运用用户习以为常的错误消息,防止察觉异状。例如,前述安装程序并不会真的部署GlobalProtect,而黑客在完成恶意程序加载后,会显示特定程序库遗失而无法完成安装的错误消息,借此避免用户起疑。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu