Programari maliciós WikiLoader

Una nova campanya de pesca està dirigida a organitzacions a Itàlia, utilitzant una nova varietat de programari maliciós descoberta anomenada WikiLoader. Aquest sofisticat programa de baixada té l'objectiu principal d'instal·lar una segona càrrega útil de programari maliciós en dispositius compromesos. Per evitar la detecció, WikiLoader utilitza múltiples mecanismes d'evasió, la qual cosa indica que podria haver estat dissenyat com un programari maliciós de lloguer, disponible per a actors específics d'amenaces cibercriminals. El nom "WikiLoader" deriva del comportament del programari maliciós de fer una sol·licitud a la Viquipèdia i verificar si la resposta conté la cadena "The Free".

El primer albirament d'aquest programari maliciós en estat salvatge es va produir el 27 de desembre de 2022, en relació amb un conjunt d'intrusions operat per un actor d'amenaça conegut com TA544, també identificat com Bamboo Spider i Zeus Panda . En particular, la càrrega útil final de les infeccions de WikiLoader sembla ser Ursnif (Gozi). Aquesta és una notòria amenaça de programari maliciós equipat amb capacitats bancàries de troià, robatori i programari espia.

Els ciberdelinqüents utilitzen esquers de pesca per oferir WikiLoader

Les campanyes de pesca connectades a WikiLoader giren al voltant de l'ús de correus electrònics que contenen diversos fitxers adjunts com Microsoft Excel, Microsoft OneNote o fitxers PDF. Aquests fitxers adjunts actuen com a esquers per desplegar la càrrega útil del descarregador, que, al seu torn, facilita la instal·lació del programari maliciós Ursnif.

Una observació interessant és que WikiLoader, el programari maliciós responsable de la infecció inicial, sembla que es comparteix entre diversos grups de ciberdelinqüència. Un d'aquests grups, conegut com TA551 o Shathak, s'ha observat recentment utilitzant WikiLoader en les seves activitats a finals de març de 2023.

A mitjans de juliol de 2023, més campanyes realitzades per l'actor d'amenaces TA544 van utilitzar fitxers adjunts PDF de temàtica comptable. Aquests fitxers adjunts contenien URL que, quan es feia clic, provocaven el lliurament d'un fitxer d'arxiu ZIP. Dins d'aquest arxiu, un fitxer JavaScript s'encarrega de descarregar i executar el programari maliciós WikiLoader, iniciant la cadena d'atac.

WikiLoader utilitza tècniques d'evasió sofisticades

WikiLoader empra tècniques d'ofuscació robustes i tàctiques evasives per evitar el programari de seguretat dels punts finals, assegurant-se que evita la detecció durant entorns d'anàlisi automatitzat. A més, està dissenyat a propòsit per recuperar i executar una càrrega útil de codi shell allotjada a Discord, que finalment serveix com a plataforma de llançament per al programari maliciós Ursnif.

Tal com indiquen els experts, WikiLoader s'està desenvolupant activament i els seus creadors implementen canvis periòdicament per mantenir les seves operacions encobertes sense ser detectades i sota el radar.

És molt probable que més actors d'amenaces criminals adoptin WikiLoader, especialment aquells identificats com a intermediaris d'accés inicial (IAB), coneguts per participar en activitats que sovint condueixen a atacs de ransomware. Els defensors i els equips de ciberseguretat han d'estar alerta i informats sobre aquest nou programari maliciós i les complexitats que comporta el lliurament de la càrrega útil. Prendre mesures proactives per salvaguardar les seves organitzacions contra l'explotació potencial és essencial per mitigar-ne l'impacte.