Зловреден софтуер WikiLoader

Нова фишинг кампания е насочена към организации в Италия, използвайки новооткрит вид зловреден софтуер, наречен WikiLoader. Тази сложна програма за изтегляне има основна цел да инсталира втори полезен товар от зловреден софтуер на компрометирани устройства. За да избегне откриването, WikiLoader използва множество механизми за избягване, което показва, че може да е проектиран като злонамерен софтуер под наем, достъпен за конкретни участници в киберпрестъпни заплахи. Името „WikiLoader“ произлиза от поведението на злонамерения софтуер да прави заявка до Wikipedia и да проверява дали отговорът съдържа низа „The Free“.

Първото забелязване на този зловреден софтуер в природата се случи на 27 декември 2022 г. във връзка с набор за проникване, управляван от заплаха, известна като TA544, идентифицирана също като Bamboo Spider и Zeus Panda . Трябва да се отбележи, че крайният полезен товар при инфекции на WikiLoader изглежда е Ursnif (Gozi). Това е прословута заплаха от зловреден софтуер, оборудвана с възможности за банков троянски кон, крадец и шпионски софтуер.

Киберпрестъпниците използват примамки за фишинг, за да доставят WikiLoader

Фишинг кампаниите, свързани с WikiLoader, се въртят около използването на имейли, съдържащи различни прикачени файлове като Microsoft Excel, Microsoft OneNote или PDF файлове. Тези прикачени файлове действат като примамки за разгръщане на полезния товар на програмата за изтегляне, което от своя страна улеснява инсталирането на злонамерения софтуер Ursnif.

Интересно наблюдение е, че WikiLoader, зловреден софтуер, отговорен за първоначалната инфекция, изглежда се споделя между множество групи за киберпрестъпност. Една такава група, известна като TA551 или Shathak, наскоро беше наблюдавана да използва WikiLoader в своите дейности от края на март 2023 г.

В средата на юли 2023 г. допълнителни кампании, проведени от заплахата TA544, използваха PDF прикачени файлове със счетоводна тематика. Тези прикачени файлове съдържаха URL адреси, които при щракване водеха до доставяне на ZIP архивен файл. В рамките на този архив JavaScript файл е отговорен за изтеглянето и изпълнението на злонамерения софтуер WikiLoader, инициирайки веригата от атаки.

WikiLoader използва сложни техники за избягване

WikiLoader използва стабилни техники за обфускиране и прилага тактики за избягване на софтуера за сигурност на крайната точка, като гарантира, че избягва откриването по време на среди за автоматизиран анализ. Освен това, той е целенасочено проектиран да извлича и изпълнява полезен код на shellcode, хостван в Discord, като в крайна сметка служи като стартова площадка за злонамерения софтуер Ursnif.

Както е посочено от експерти, WikiLoader се разработва активно и неговите създатели редовно прилагат промени, за да поддържат своите тайни операции незабелязани и под радара.

Много е вероятно повече участници в престъпни заплахи да възприемат WikiLoader, особено тези, идентифицирани като брокери за първоначален достъп (IAB), известни с участието си в дейности, които често водят до атаки на рансъмуер. Защитниците и екипите за киберсигурност трябва да бъдат нащрек и информирани за този нов злонамерен софтуер и тънкостите, свързани с доставката на полезен товар. Предприемането на проактивни мерки за защита на техните организации срещу потенциална експлоатация е от съществено значение за смекчаване на нейното въздействие.