תוכנה זדונית של WikiLoader

קמפיין דיוג חדש מכוון לארגונים באיטליה, תוך שימוש בזן חדש שהתגלה של תוכנות זדוניות בשם WikiLoader. למטרה מתוחכמת זו יש להתקין מטען שני של תוכנות זדוניות במכשירים שנפגעו. כדי להימנע מזיהוי, ויקילואדר משתמש במספר מנגנוני התחמקות, המצביעים על כך שייתכן שהוא תוכנן כתוכנה זדונית להשכרה, הזמינה לשחקנים ספציפיים של איום פושעי סייבר. השם 'WikiLoader' נגזר מההתנהגות של התוכנה הזדונית של הגשת בקשה לוויקיפדיה ואימות אם התגובה מכילה את המחרוזת 'החופשי'.

התצפית הראשונה של תוכנה זדונית זו בטבע התרחשה ב-27 בדצמבר 2022, בקשר לסט חדירה שהופעל על ידי שחקן איום המכונה TA544, שזוהה גם כעכביש במבוק וזאוס פנדה . יש לציין כי נראה כי המטען הסופי בהדבקות של WikiLoader הוא Ursnif (Gozi). זהו איום תוכנות זדוניות ידוע לשמצה המצויד ביכולות טרויאניות בנקאיות, גנבים ותוכנות ריגול.

פושעי סייבר משתמשים בפתיונות דיוג כדי לספק את WikiLoader

מסעות הפרסום הדיוג המחוברים ל-WikiLoader סובבים סביב השימוש במיילים המכילים קבצים מצורפים שונים כמו Microsoft Excel, Microsoft OneNote או קבצי PDF. קבצים מצורפים אלה פועלים כפתויים לפריסת מטען ההורדה, אשר בתורו מקל על התקנת תוכנת הזדונית Ursnif.

תצפית מעניינת היא ש-WikiLoader, התוכנה הזדונית האחראית על ההדבקה הראשונית, נראה משותף בין מספר קבוצות של פשעי סייבר. קבוצה אחת כזו, המכונה TA551 או Shathak, נצפתה לאחרונה כשהיא משתמשת ב-WikiLoader בפעילותה החל מסוף מרץ 2023.

באמצע יולי 2023, קמפיינים נוספים שבוצעו על ידי שחקן האיומים TA544 השתמשו בקבצי PDF מצורפים בנושא חשבונאות. קבצים מצורפים אלה הכילו כתובות URL שבלחיצה הובילו למשלוח קובץ ארכיון ZIP. בתוך ארכיון זה, קובץ JavaScript אחראי על הורדה וביצוע של התוכנה הזדונית של WikiLoader, המתחיל את שרשרת ההתקפה.

WikiLoader משתמש בטכניקות התחמקות מתוחכמות

WikiLoader משתמש בטכניקות ערפול חזקות ומשתמש בטקטיקות התחמקות כדי לעקוף תוכנת אבטחת נקודות קצה, מה שמבטיח שהיא נמנעת מזיהוי במהלך סביבות ניתוח אוטומטיות. יתר על כן, הוא תוכנן בכוונה לאחזר ולהוציא לפועל מטען קוד מעטפת המתארח ב-Discord, ובסופו של דבר משמש כנקודת השקה עבור תוכנת הזדונית Ursnif.

כפי שציינו מומחים, WikiLoader נמצא בפיתוח פעיל, ויוצריו מיישמים באופן קבוע שינויים כדי לשמור על הפעולות החשאיות שלהם ללא זיהוי ומתחת לרדאר.

סביר מאוד שיותר גורמי איומים פליליים יאמצו את WikiLoader, במיוחד אלו שזוהו כמתווכים גישה ראשונית (IABs), הידועים כמי שעוסקים בפעילויות שמובילות לרוב להתקפות של תוכנות כופר. מגינים וצוותי אבטחת סייבר חייבים להיות ערניים ומעודכנים לגבי התוכנה הזדונית החדשה הזו והמורכבות הכרוכה באספקת מטענים. נקיטת אמצעים יזומים כדי להגן על הארגונים שלהם מפני ניצול פוטנציאלי חיונית בהפחתת השפעתו.