导航菜单

新WhiteShadow下载器利用SQL Server分发恶意软件

新的WhiteShadow Downloader使用SQL Server分发恶意软件Original E Security 4天前,我要共享

根据国外媒体的报道,Proofpoint研究团队发现,新的恶意软件下载器WhiteShadow使用攻击者控制的Microsoft SQL Server分发恶意软件。

专家说,WhiteShadow使用SQLOLEDB连接器连接到远程Microsoft SQL Server实例,执行查询,并将结果作为压缩的可执行文件保存到文件中。 SQLOLEDB连接器是Microsoft的可安装数据库连接器,但是默认情况下,它包含在许多Microsoft Office安装中。

可以理解,WhiteShadow表现为一组Office宏,主要通过包含恶意URL或恶意附件的垃圾邮件进行分发。自从8月份首次发现下载器以来,研究团队已经使用下载器发现了近12种恶意活动。大多数恶意活动都会传播深红恶意软件。其他负载包括特斯拉特工,AZORult,Nanocore,njRat,Orion Logger,Remcos和Formbook RAT。

本文是第一作者的原创,未经授权不得复制。

收款报告投诉

根据国外媒体的报道,Proofpoint研究团队发现,新的恶意软件下载器WhiteShadow使用攻击者控制的Microsoft SQL Server分发恶意软件。

专家说,WhiteShadow使用SQLOLEDB连接器连接到远程Microsoft SQL Server实例,执行查询,并将结果作为压缩的可执行文件保存到文件中。 SQLOLEDB连接器是Microsoft的可安装数据库连接器,但是默认情况下,它包含在许多Microsoft Office安装中。

可以理解,WhiteShadow表现为一组Office宏,主要通过包含恶意URL或恶意附件的垃圾邮件进行分发。自从8月份首次发现下载器以来,研究团队已经使用下载器发现了近12种恶意活动。大多数恶意活动都会传播深红恶意软件。其他负载包括特斯拉特工,AZORult,Nanocore,njRat,Orion Logger,Remcos和Formbook RAT。

本文是第一作者的原创,未经授权不得复制。