بدافزار WikiLoader

یک کمپین فیشینگ جدید با استفاده از یک نوع بدافزار جدید کشف شده به نام WikiLoader، سازمان ها را در ایتالیا هدف قرار داده است. هدف اصلی این دانلود کننده پیچیده نصب دومین بار بدافزار بر روی دستگاه های در معرض خطر است. برای جلوگیری از شناسایی، ویکی‌لودر از مکانیسم‌های فرار چندگانه استفاده می‌کند، که نشان می‌دهد ممکن است به عنوان یک بدافزار برای استخدام طراحی شده باشد، که در دسترس عوامل تهدید مجرمان سایبری خاص است. نام "WikiLoader" از رفتار بدافزار در ارسال درخواست به ویکی‌پدیا و بررسی اینکه آیا پاسخ حاوی رشته "The Free" است، گرفته شده است.

اولین مشاهده این بدافزار در طبیعت در 27 دسامبر 2022 در ارتباط با یک مجموعه نفوذی که توسط یک عامل تهدید معروف به TA544، که با نام های Bamboo Spider و Zeus Panda نیز شناخته می شود، رخ داد. قابل توجه است که به نظر می رسد بار نهایی در آلودگی های ویکی لودر Ursnif (گوزی) باشد. این یک تهدید بدافزار بدنام است که مجهز به قابلیت های تروجان بانکی، دزد و جاسوس افزار است.

مجرمان سایبری از فریب های فیشینگ برای ارائه WikiLoader استفاده می کنند

کمپین های فیشینگ متصل به WikiLoader حول استفاده از ایمیل های حاوی پیوست های مختلف مانند Microsoft Excel، Microsoft OneNote یا فایل های PDF می چرخد. این پیوست‌ها به‌عنوان فریبنده‌ای برای استقرار بار بارگیری کننده عمل می‌کنند که به نوبه خود، نصب بدافزار Ursnif را تسهیل می‌کند.

یک مشاهدات جالب این است که WikiLoader، بدافزاری که مسئول آلودگی اولیه است، به نظر می رسد در میان چندین گروه جرایم سایبری به اشتراک گذاشته شده است. یکی از این گروه‌ها، معروف به TA551 یا Shathak، اخیراً با استفاده از WikiLoader در فعالیت‌های خود در اواخر مارس 2023 مشاهده شده است.

در اواسط ژوئیه 2023، کمپین های دیگری که توسط عامل تهدید TA544 انجام شد، از پیوست های PDF با مضمون حسابداری استفاده کرد. این پیوست‌ها حاوی URL‌هایی بودند که با کلیک روی آن‌ها منجر به تحویل یک فایل آرشیو ZIP می‌شد. در این آرشیو، یک فایل جاوا اسکریپت مسئول دانلود و اجرای بدافزار WikiLoader است که زنجیره حمله را آغاز می کند.

WikiLoader از تکنیک های پیچیده فرار استفاده می کند

WikiLoader از تکنیک‌های مبهم سازی قوی استفاده می‌کند و از تاکتیک‌های گریزان برای دور زدن نرم‌افزار امنیتی نقطه پایانی استفاده می‌کند، و تضمین می‌کند که در محیط‌های تحلیل خودکار از شناسایی جلوگیری می‌کند. علاوه بر این، به طور هدفمند برای بازیابی و اجرای یک محموله کد پوسته میزبانی شده در Discord طراحی شده است که در نهایت به عنوان یک لانچ برای بدافزار Ursnif عمل می کند.

همانطور که کارشناسان نشان می دهند، ویکی لودر به طور فعال در حال توسعه است و سازندگان آن به طور منظم تغییراتی را برای حفظ عملیات مخفیانه خود به صورت ناشناخته و زیر رادار اعمال می کنند.

بسیار محتمل است که عوامل تهدید مجرمانه بیشتری از WikiLoader استفاده کنند، به ویژه آنهایی که به عنوان کارگزاران دسترسی اولیه (IABs) شناخته می شوند و به دلیل درگیر شدن در فعالیت هایی که اغلب منجر به حملات باج افزار می شوند، شناخته شده اند. مدافعان و تیم‌های امنیت سایبری باید در مورد این بدافزار جدید و پیچیدگی‌های موجود در تحویل محموله هوشیار و مطلع باشند. انجام اقدامات پیشگیرانه برای محافظت از سازمان های خود در برابر بهره برداری بالقوه در کاهش تأثیر آن ضروری است.