Κακόβουλο λογισμικό WikiLoader

Μια νέα εκστρατεία phishing στοχεύει οργανισμούς στην Ιταλία, χρησιμοποιώντας ένα νέο είδος κακόβουλου λογισμικού που ανακαλύφθηκε με το όνομα WikiLoader. Αυτό το εξελιγμένο πρόγραμμα λήψης έχει πρωταρχικό στόχο την εγκατάσταση ενός δεύτερου ωφέλιμου φορτίου κακόβουλου λογισμικού σε παραβιασμένες συσκευές. Για να αποφευχθεί ο εντοπισμός, το WikiLoader χρησιμοποιεί πολλαπλούς μηχανισμούς φοροδιαφυγής, υποδεικνύοντας ότι μπορεί να έχει σχεδιαστεί ως κακόβουλο λογισμικό για ενοικίαση, διαθέσιμο σε συγκεκριμένους φορείς απειλών κυβερνοεγκληματικών. Το όνομα "WikiLoader" προέρχεται από τη συμπεριφορά του κακόβουλου λογισμικού να υποβάλει αίτημα στη Wikipedia και να επαληθεύει εάν η απάντηση περιέχει τη συμβολοσειρά "The Free".

Η πρώτη παρατήρηση αυτού του κακόβουλου λογισμικού στην άγρια φύση συνέβη στις 27 Δεκεμβρίου 2022, σε σχέση με ένα σετ εισβολής που λειτούργησε από έναν παράγοντα απειλής γνωστό ως TA544, ο οποίος προσδιορίζεται επίσης ως Bamboo Spider και Zeus Panda . Συγκεκριμένα, το τελικό ωφέλιμο φορτίο στις μολύνσεις του WikiLoader φαίνεται να είναι το Ursnif (Gozi). Αυτή είναι μια διαβόητη απειλή κακόβουλου λογισμικού εξοπλισμένη με δυνατότητες τραπεζικού Trojan, κλέφτη και spyware.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν θέλγητρα ηλεκτρονικού ψαρέματος για να παραδώσουν το WikiLoader

Οι καμπάνιες phishing που συνδέονται με το WikiLoader περιστρέφονται γύρω από τη χρήση μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν διάφορα συνημμένα, όπως αρχεία Microsoft Excel, Microsoft OneNote ή PDF. Αυτά τα συνημμένα λειτουργούν ως δέλεαρ για την ανάπτυξη του ωφέλιμου φορτίου του προγράμματος λήψης, το οποίο, με τη σειρά του, διευκολύνει την εγκατάσταση του κακόβουλου λογισμικού Ursnif.

Μια ενδιαφέρουσα παρατήρηση είναι ότι το WikiLoader, το κακόβουλο λογισμικό που ευθύνεται για την αρχική μόλυνση, φαίνεται να είναι κοινόχρηστο μεταξύ πολλών ομάδων εγκλήματος στον κυβερνοχώρο. Μια τέτοια ομάδα, γνωστή ως TA551 ή Shathak, παρατηρήθηκε πρόσφατα να χρησιμοποιεί το WikiLoader στις δραστηριότητές της από τα τέλη Μαρτίου 2023.

Στα μέσα Ιουλίου 2023, περαιτέρω εκστρατείες που πραγματοποιήθηκαν από τον παράγοντα απειλών TA544 χρησιμοποίησαν συνημμένα PDF με θέμα τη λογιστική. Αυτά τα συνημμένα περιείχαν διευθύνσεις URL στις οποίες, όταν κάνατε κλικ, οδήγησαν στην παράδοση ενός αρχείου αρχείου ZIP. Μέσα σε αυτό το αρχείο, ένα αρχείο JavaScript είναι υπεύθυνο για τη λήψη και την εκτέλεση του κακόβουλου λογισμικού WikiLoader, ξεκινώντας την αλυσίδα επίθεσης.

Το WikiLoader χρησιμοποιεί εξελιγμένες τεχνικές φοροδιαφυγής

Το WikiLoader χρησιμοποιεί ισχυρές τεχνικές συσκότισης και χρησιμοποιεί τακτικές αποφυγής για να παρακάμψει το λογισμικό ασφάλειας τελικού σημείου, διασφαλίζοντας ότι αποφεύγει τον εντοπισμό κατά τη διάρκεια αυτοματοποιημένων περιβαλλόντων ανάλυσης. Επιπλέον, έχει σχεδιαστεί σκόπιμα για να ανακτά και να εκτελεί ένα ωφέλιμο φορτίο κώδικα κελύφους που φιλοξενείται στο Discord, το οποίο τελικά χρησιμεύει ως επιφάνεια εκκίνησης για το κακόβουλο λογισμικό Ursnif.

Όπως υποδεικνύεται από ειδικούς, το WikiLoader αναπτύσσεται ενεργά και οι δημιουργοί του εφαρμόζουν τακτικά αλλαγές για να διατηρήσουν τις μυστικές τους λειτουργίες απαρατήρητες και υπό το ραντάρ.

Είναι πολύ πιθανό ότι περισσότεροι παράγοντες εγκληματικής απειλής θα υιοθετήσουν το WikiLoader, ειδικά εκείνοι που προσδιορίζονται ως μεσίτες αρχικής πρόσβασης (IAB), γνωστοί για τη συμμετοχή τους σε δραστηριότητες που συχνά οδηγούν σε επιθέσεις ransomware. Οι υπερασπιστές και οι ομάδες κυβερνοασφάλειας πρέπει να είναι σε εγρήγορση και να ενημερώνονται για αυτό το νέο κακόβουλο λογισμικό και τις περιπλοκές που σχετίζονται με την παράδοση ωφέλιμου φορτίου. Η λήψη προληπτικών μέτρων για την προστασία των οργανισμών τους από πιθανή εκμετάλλευση είναι απαραίτητη για τον μετριασμό των επιπτώσεών της.