WikiLoaderi pahavara

Uus andmepüügikampaania on suunatud Itaalia organisatsioonidele, kasutades äsja avastatud pahavara tüve nimega WikiLoader. Selle keeruka allalaadija esmane eesmärk on installida ohustatud seadmetesse teine koormus pahavara. Tuvastamise vältimiseks kasutab WikiLoader mitut kõrvalehoidmise mehhanismi, mis näitab, et see võis olla loodud renditava pahavarana, mis on saadaval konkreetsetele küberkurjategijatele. Nimi 'WikiLoader' tuleneb pahavara käitumisest, mille käigus ta esitab päringu Wikipediale ja kontrollib, kas vastus sisaldab stringi 'The Free'.

Esimest korda nähti seda pahavara looduses 27. detsembril 2022 seoses sissetungimiskomplektiga, mida juhtis ohutegelane, tuntud kui TA544, mida nimetatakse ka Bamboo Spideriks ja Zeus Pandaks . Eelkõige näib, et WikiLoaderi nakkuste viimane kasulik koormus on Ursnif (Gozi). See on kurikuulus pahavaraoht, mis on varustatud pangandustrooja, varastamise ja nuhkvara võimalustega.

Küberkurjategijad kasutavad WikiLoaderi edastamiseks andmepüügipeibutisi

WikiLoaderiga ühendatud andmepüügikampaaniad keerlevad mitmesuguste manuseid, nagu Microsoft Excel, Microsoft OneNote või PDF-faile, sisaldavate meilide kasutamise ümber. Need manused toimivad peibutisena allalaadija kasuliku koormuse juurutamiseks, mis omakorda hõlbustab Ursnifi pahavara installimist.

Huvitav tähelepanek on see, et WikiLoader, algse nakatumise eest vastutav pahavara, näib olevat jagatud mitme küberkuritegevuse grupi vahel. Ühte sellist rühma, tuntud kui TA551 või Shathak, on 2023. aasta märtsi lõpus hiljuti täheldatud WikiLoaderi kasutamises.

2023. aasta juuli keskel kasutati ohunäitleja TA544 edasistes kampaaniates raamatupidamisteemalisi PDF-manuseid. Need manused sisaldasid URL-e, millel klõpsamine viis ZIP-arhiivifaili kohaletoimetamiseni. Selles arhiivis vastutab JavaScripti fail WikiLoaderi pahavara allalaadimise ja käivitamise eest, käivitades rünnakuahela.

WikiLoader kasutab keerukaid kõrvalehoidmise tehnikaid

WikiLoader kasutab jõulisi hägustamistehnikaid ja vältivaid taktikaid, et vältida lõpp-punkti turvatarkvara, tagades, et see väldib tuvastamist automatiseeritud analüüsikeskkondade ajal. Lisaks on see sihipäraselt loodud Discordis hostitud shellcode'i kasuliku koormuse hankimiseks ja käivitamiseks, mis lõpuks toimib Ursnifi pahavara käivitusplatvormina.

Nagu eksperdid märkisid, arendatakse WikiLoaderit aktiivselt ja selle loojad viivad regulaarselt muudatusi, et hoida oma varjatud toiminguid avastamata ja radari all.

On väga tõenäoline, et rohkem kuritegelikke ohus osalejaid võtab WikiLoaderi kasutusele, eriti need, kes on identifitseeritud esialgse juurdepääsu vahendajatena (IAB), kes on tuntud selle poolest, et osalevad tegevustes, mis sageli põhjustavad lunavararünnakuid. Kaitsjad ja küberjulgeoleku meeskonnad peavad olema valvsad ja informeeritud sellest uuest pahavarast ja kasuliku koorma kohaletoimetamisega seotud keerukustest. Ennetavate meetmete võtmine, et kaitsta oma organisatsioone võimaliku ärakasutamise eest, on selle mõju leevendamiseks hädavajalik.