新的WhiteShadow下载器使用SQL Server来分发恶意软件

Proofpoint研究小组发现，新的恶意软件下载器WhiteShadow使用攻击者控制的Microsoft SQL Server分发恶意软件。

专家说，WhiteShadow使用SQLOLEDB连接器连接到远程Microsoft SQL Server实例，执行查询，并将结果作为压缩的可执行文件保存到文件中。 SQLOLEDB连接器是Microsoft的可安装数据库连接器，但默认情况下，它包含在许多Microsoft Office安装中。

研究人员说：“ SQLOLEDB连接器是Microsoft的可安装数据库连接器，但默认情况下包含在许多（如果不是全部）Microsoft Office安装中。” “一旦在系统上安装了连接器，Windows子系统的各个部分以及Microsoft Office文档中的宏（包括宏）都可以使用它。”

WhiteShadow出现为一组Office宏，主要通过包含恶意URL或恶意附件的垃圾邮件进行分发。自从8月份首次发现该下载程序以来，研究团队已使用该下载程序发现了11种恶意活动。大多数恶意活动都会传播Crimson恶意软件。其他有效载荷包括特斯拉、AZORult、Nanocore、njRat、Orion Logger、Remcos和Formbook rat。