WikiLoader-haittaohjelma

Uusi tietojenkalastelukampanja on suunnattu Italian organisaatioille, ja se hyödyntää äskettäin löydettyä WikiLoader-nimistä haittaohjelmakantaa. Tämän hienostuneen latausohjelman ensisijaisena tavoitteena on asentaa toinen haittaohjelmien hyötykuorma vaarantuneisiin laitteisiin. Havaitsemisen välttämiseksi WikiLoader käyttää useita kiertomekanismeja, mikä osoittaa, että se on saatettu suunnitella palkattavaksi haittaohjelmaksi, joka on saatavilla tiettyjen kyberrikollisten uhkien toimijoille. Nimi "WikiLoader" on johdettu haittaohjelman toiminnasta Wikipediaan ja tarkistaa, sisältääkö vastaus merkkijonon "The Free".

Tämä haittaohjelma havaittiin ensimmäisen kerran luonnossa 27. joulukuuta 2022 TA544-nimisen uhkatoimijan, joka tunnetaan myös nimellä Bamboo Spider ja Zeus Panda , tunkeutumisen yhteydessä. Erityisesti viimeinen hyötykuorma WikiLoader-infektioissa näyttää olevan Ursnif (Gozi). Tämä on pahamaineinen haittaohjelmauhka, joka on varustettu pankkitroijalais-, varastaja- ja vakoiluohjelmilla.

Kyberrikolliset käyttävät tietojenkalasteluvieheitä WikiLoaderin toimittamiseen

WikiLoaderiin yhdistetyt tietojenkalastelukampanjat pyörivät sähköpostien käytön ympärillä, jotka sisältävät erilaisia liitteitä, kuten Microsoft Excel-, Microsoft OneNote- tai PDF-tiedostoja. Nämä liitteet toimivat vieheinä lataamaan latausohjelman hyötykuorma, mikä puolestaan helpottaa Ursnif-haittaohjelman asennusta.

Mielenkiintoinen havainto on, että WikiLoader, alkuperäisestä tartunnasta vastuussa oleva haittaohjelma, näyttää olevan jaettu useiden kyberrikollisryhmien kesken. Eräs tällainen ryhmä, joka tunnetaan nimellä TA551 tai Shathak, on äskettäin havaittu käyttävän WikiLoaderia toiminnassaan maaliskuun 2023 lopulla.

Heinäkuun puolivälissä 2023 uhkatoimija TA544:n jatkokampanjoissa käytettiin kirjanpitoaiheisia PDF-liitteitä. Nämä liitteet sisälsivät URL-osoitteita, joiden napsauttaminen johti ZIP-arkistotiedoston toimittamiseen. Tässä arkistossa JavaScript-tiedosto vastaa WikiLoader-haittaohjelman lataamisesta ja suorittamisesta ja käynnistää hyökkäysketjun.

WikiLoader käyttää kehittyneitä evaasiotekniikoita

WikiLoader käyttää vankkoja hämärtymistekniikoita ja kiertotaktiikoita ohittaakseen päätepisteiden tietoturvaohjelmistot, mikä varmistaa, että se välttää havaitsemisen automaattisten analyysiympäristöjen aikana. Lisäksi se on tarkoituksella suunniteltu noutamaan ja suorittamaan Discordissa isännöity shellcode-hyötykuorma, joka lopulta toimii Ursnif-haittaohjelman käynnistyslevynä.

Asiantuntijoiden mukaan WikiLoaderia kehitetään aktiivisesti, ja sen tekijät tekevät säännöllisesti muutoksia pitääkseen salaiset toimintansa havaitsemattomina ja tutkan alla.

On erittäin todennäköistä, että useammat rikolliset uhkatoimijat ottavat käyttöön WikiLoaderia, erityisesti ne, jotka on tunnistettu alkupääsyvälittäjiksi (IAB:t), jotka ovat tunnettuja toimista, jotka johtavat usein kiristysohjelmien hyökkäyksiin. Puolustajien ja kyberturvatiimien on oltava varuillaan ja tiedotettava tästä uudesta haittaohjelmasta ja hyötykuorman toimitukseen liittyvistä mutkista. Ennakoivien toimenpiteiden toteuttaminen organisaatioiden suojelemiseksi mahdolliselta hyväksikäytöltä on välttämätöntä sen vaikutusten lieventämiseksi.