Malware WikiLoader

Nová phishingová kampaň se zaměřuje na organizace v Itálii a využívá nově objevený kmen malwaru s názvem WikiLoader. Primárním cílem tohoto sofistikovaného stahovacího programu je nainstalovat druhý náklad malwaru na napadená zařízení. Aby se zabránilo odhalení, používá WikiLoader několik únikových mechanismů, což naznačuje, že mohl být navržen jako malware k pronájmu, dostupný konkrétním aktérům kyberzločinců. Název 'WikiLoader' je odvozen od chování malwaru při odesílání požadavku na Wikipedii a ověřování, zda odpověď obsahuje řetězec 'The Free.'

K prvnímu pozorování tohoto malwaru ve volné přírodě došlo 27. prosince 2022 v souvislosti se sadou vloupání provozovanou aktérem hrozby známým jako TA544, také identifikovaným jako Bamboo Spider a Zeus Panda . Pozoruhodně se zdá, že konečným nákladem v infekcích WikiLoader je Ursnif (Gozi). Toto je notoricky známá malwarová hrozba vybavená bankovními trojskými koňmi, zloději a spywarem.

Kyberzločinci používají phishingové návnady k doručení WikiLoaderu

Phishingové kampaně spojené s WikiLoaderem se točí kolem používání e-mailů obsahujících různé přílohy, jako jsou soubory Microsoft Excel, Microsoft OneNote nebo PDF. Tyto přílohy fungují jako návnady k nasazení užitečného zatížení stahovače, což zase usnadňuje instalaci malwaru Ursnif.

Zajímavým pozorováním je, že WikiLoader, malware zodpovědný za počáteční infekci, se zdá být sdílen mezi více skupinami kyberzločinců. Jedna taková skupina, známá jako TA551 nebo Shathak, byla nedávno pozorována pomocí WikiLoaderu ve svých aktivitách koncem března 2023.

V polovině července 2023 další kampaně, které provedl hrozba TA544, využívaly přílohy PDF s účetní tematikou. Tyto přílohy obsahovaly adresy URL, které po kliknutí vedly k doručení archivního souboru ZIP. V rámci tohoto archivu je soubor JavaScript zodpovědný za stažení a spuštění malwaru WikiLoader, čímž spustí řetězec útoků.

WikiLoader využívá sofistikované únikové techniky

WikiLoader využívá robustní obfuskační techniky a využívá vyhýbavé taktiky k obcházení softwaru pro zabezpečení koncových bodů, čímž zajišťuje, že se vyhne detekci během automatizovaných analytických prostředí. Kromě toho je účelně navržen tak, aby načítal a spouštěl užitečné zatížení shell kódu hostované na Discordu, což nakonec slouží jako spouštěcí panel pro malware Ursnif.

Jak uvádějí odborníci, WikiLoader se aktivně vyvíjí a jeho tvůrci pravidelně zavádějí změny, aby jejich tajné operace zůstaly nezjištěné a pod radarem.

Je vysoce pravděpodobné, že WikiLoader přijme více aktérů kriminálních hrozeb, zejména ti, kteří jsou identifikováni jako zprostředkovatelé počátečního přístupu (IAB), známí tím, že se zapojují do aktivit, které často vedou k útokům ransomwaru. Obránci a týmy kybernetické bezpečnosti musí být ve střehu a informováni o tomto novém malwaru a o složitostech spojených s doručováním užitečného zatížení. Pro zmírnění jeho dopadu je zásadní přijmout proaktivní opatření k ochraně jejich organizací před potenciálním zneužitím.