WikiLoader Malware

En ny phishing-kampagne er rettet mod organisationer i Italien ved at bruge en nyopdaget stamme af malware ved navn WikiLoader. Denne sofistikerede downloader har det primære formål at installere en anden nyttelast af malware på kompromitterede enheder. For at undgå opdagelse anvender WikiLoader flere unddragelsesmekanismer, hvilket indikerer, at det kan være designet som en malware-til-udlejning, tilgængelig for specifikke cyberkriminelle trusselsaktører. Navnet 'WikiLoader' er afledt af malwarens adfærd med at sende en anmodning til Wikipedia og kontrollere, om svaret indeholder strengen 'The Free'.

Den første observation af denne malware i naturen fandt sted den 27. december 2022 i forbindelse med et indbrudssæt drevet af en trusselsaktør kendt som TA544, også identificeret som Bamboo Spider og Zeus Panda . Det er bemærkelsesværdigt, at den endelige nyttelast i WikiLoader-infektioner ser ud til at være Ursnif (Gozi). Dette er en berygtet malware-trussel udstyret med bank-trojanske, tyvere og spyware-funktioner.

Cyberkriminelle bruger phishing-lokker til at levere WikiLoader

Phishing-kampagnerne forbundet med WikiLoader drejer sig om brugen af e-mails, der indeholder forskellige vedhæftede filer som Microsoft Excel, Microsoft OneNote eller PDF-filer. Disse vedhæftede filer fungerer som lokker til at implementere downloaderens nyttelast, hvilket igen letter installationen af Ursnif-malwaren.

En interessant observation er, at WikiLoader, den malware, der er ansvarlig for den første infektion, ser ud til at blive delt mellem flere grupper af cyberkriminalitet. En sådan gruppe, kendt som TA551 eller Shathak, er for nylig blevet observeret ved at bruge WikiLoader i sine aktiviteter i slutningen af marts 2023.

I midten af juli 2023 anvendte yderligere kampagner udført af trusselsaktøren TA544 regnskabs-tema vedhæftede filer. Disse vedhæftede filer indeholdt URL'er, der, når de blev klikket, førte til levering af en ZIP-arkivfil. Inden for dette arkiv er en JavaScript-fil ansvarlig for at downloade og udføre WikiLoader-malwaren, der initierer angrebskæden.

WikiLoader anvender sofistikerede undvigelsesteknikker

WikiLoader anvender robuste sløringsteknikker og anvender undvigende taktikker til at omgå endpoint-sikkerhedssoftware, hvilket sikrer, at det undgår registrering under automatiserede analysemiljøer. Ydermere er det målrettet designet til at hente og udføre en shellcode-nyttelast, der er hostet på Discord, og i sidste ende fungerer som en startplads for Ursnif-malwaren.

Som angivet af eksperter, udvikles WikiLoader aktivt, og dets skabere implementerer regelmæssigt ændringer for at opretholde deres hemmelige operationer uopdaget og under radaren.

Det er højst sandsynligt, at flere kriminelle trusselsaktører vil tage WikiLoader i brug, især dem, der er identificeret som initial access brokers (IAB'er), kendt for at engagere sig i aktiviteter, der ofte fører til ransomware-angreb. Forsvarere og cybersikkerhedshold skal være opmærksomme og informeret om denne nye malware og de forviklinger, der er involveret i levering af nyttelast. At træffe proaktive foranstaltninger for at beskytte deres organisationer mod potentiel udnyttelse er afgørende for at afbøde dens indvirkning.