WikiLoader البرامج الضارة

تستهدف حملة التصيد الاحتيالي الجديدة المؤسسات في إيطاليا ، باستخدام سلالة اكتشفت حديثًا من البرامج الضارة تسمى WikiLoader. يهدف برنامج التنزيل المتطور هذا إلى تثبيت حمولة ثانية من البرامج الضارة على الأجهزة المخترقة. لتجنب الاكتشاف ، يستخدم WikiLoader آليات تهرب متعددة ، مما يشير إلى أنه ربما تم تصميمه كبرنامج ضار للتأجير ، ومتاح لممثلي تهديدات المجرمين الإلكترونيين المحددين. يُشتق اسم "WikiLoader" من سلوك البرامج الضارة المتمثلة في تقديم طلب إلى Wikipedia والتحقق مما إذا كانت الاستجابة تحتوي على السلسلة "The Free".

حدثت أول مشاهدة لهذا البرنامج الضار في البرية في 27 ديسمبر 2022 ، فيما يتعلق بمجموعة تطفل يديرها ممثل تهديد معروف باسم TA544 ، تم تحديده أيضًا باسم Bamboo Spider و Zeus Panda . والجدير بالذكر أن الحمولة النهائية في إصابات WikiLoader تبدو أنها Ursnif (Gozi). يعد هذا تهديدًا سيئ السمعة للبرامج الضارة مزودًا بقدرات حصان طروادة المصرفية ، والسرقة وبرامج التجسس.

يستخدم مجرمو الإنترنت إغراءات التصيد لتقديم WikiLoader

تدور حملات التصيد الاحتيالي المرتبطة بـ WikiLoader حول استخدام رسائل البريد الإلكتروني التي تحتوي على مرفقات متنوعة مثل Microsoft Excel أو Microsoft OneNote أو ملفات PDF. تعمل هذه المرفقات كإغراءات لنشر حمولة التنزيل ، والتي بدورها تسهل تثبيت برنامج Ursnif الضار.

ملاحظة مثيرة للاهتمام هي أن WikiLoader ، البرنامج الضار المسؤول عن الإصابة الأولية ، يبدو أنه مشترك بين مجموعات جرائم الإنترنت المتعددة. تمت ملاحظة إحدى هذه المجموعات ، المعروفة باسم TA551 أو Shathak ، مؤخرًا باستخدام WikiLoader في أنشطتها اعتبارًا من أواخر مارس 2023.

في منتصف يوليو 2023 ، استخدمت حملات أخرى نفذها ممثل التهديد TA544 مرفقات PDF ذات موضوعات المحاسبة. احتوت هذه المرفقات على عناوين URL التي ، عند النقر عليها ، أدت إلى تسليم ملف أرشيف بتنسيق ZIP. ضمن هذا الأرشيف ، يكون ملف JavaScript مسؤولاً عن تنزيل وتنفيذ برنامج WikiLoader الضار ، وبدء سلسلة الهجوم.

يستخدم WikiLoader تقنيات تهرب متطورة

يستخدم WikiLoader تقنيات تشويش قوية ويستخدم تكتيكات مراوغة لتجاوز برنامج أمان نقطة النهاية ، مما يضمن تجنب اكتشافه أثناء بيئات التحليل الآلي. علاوة على ذلك ، فقد تم تصميمه عن قصد لاسترداد وتنفيذ حمولة كود القشرة المستضافة على Discord ، والتي تعمل في النهاية كقاعدة إطلاق لبرنامج Ursnif الضار.

كما أشار الخبراء ، يتم تطوير WikiLoader بنشاط ، ويقوم منشئوه بانتظام بإجراء تغييرات للحفاظ على عملياتهم السرية غير مكتشفة وتحت الرادار.

من المحتمل جدًا أن يتبنى المزيد من الجهات الفاعلة في مجال التهديد الإجرامي WikiLoader ، خاصة أولئك الذين تم تحديدهم على أنهم وسطاء وصول أوليون (IABs) ، والمعروفين بالمشاركة في الأنشطة التي غالبًا ما تؤدي إلى هجمات برامج الفدية. يجب أن يكون المدافعون وفرق الأمن السيبراني في حالة تأهب وإبلاغ بشأن هذه البرامج الضارة الجديدة والتعقيدات التي ينطوي عليها تسليم الحمولة. إن اتخاذ تدابير استباقية لحماية منظماتهم من الاستغلال المحتمل أمر ضروري للتخفيف من تأثيره.