Zlonamjerni softver WikiLoader

Nova phishing kampanja cilja na organizacije u Italiji, koristeći novootkrivenu vrstu zlonamjernog softvera pod nazivom WikiLoader. Ovaj sofisticirani program za preuzimanje ima primarni cilj instaliranje drugog korisnog sadržaja zlonamjernog softvera na kompromitirane uređaje. Kako bi izbjegao otkrivanje, WikiLoader koristi višestruke mehanizme izbjegavanja, što ukazuje da je možda dizajniran kao zlonamjerni softver za unajmljivanje, dostupan određenim akterima kibernetičkih prijetnji. Naziv 'WikiLoader' izveden je iz ponašanja zlonamjernog softvera koji postavlja zahtjev Wikipediji i provjerava sadrži li odgovor niz 'The Free'.

Prvo viđenje ovog zlonamjernog softvera u divljini dogodilo se 27. prosinca 2022., u vezi sa skupom upada kojim je upravljao akter prijetnje poznat kao TA544, također identificiran kao Bamboo Spider i Zeus Panda . Naime, čini se da je konačni teret u infekcijama WikiLoaderom Ursnif (Gozi). Ovo je ozloglašena prijetnja zlonamjernim softverom opremljena mogućnostima bankarskog trojanaca, kradljivaca i špijunskog softvera.

Cyberkriminalci koriste mamce za krađu identiteta za isporuku WikiLoadera

Kampanje krađe identiteta povezane s WikiLoaderom vrte se oko upotrebe e-pošte koja sadrži razne privitke poput Microsoft Excela, Microsoft OneNotea ili PDF datoteka. Ovi privici djeluju kao mamci za raspoređivanje nosivosti programa za preuzimanje, što zauzvrat olakšava instalaciju zlonamjernog softvera Ursnif.

Zanimljivo opažanje je da WikiLoader, zlonamjerni softver odgovoran za početnu infekciju, izgleda dijeli više skupina kibernetičkog kriminala. Jedna takva grupa, poznata kao TA551 ili Shathak, nedavno je primijećena kako koristi WikiLoader u svojim aktivnostima od kraja ožujka 2023.

Sredinom srpnja 2023. daljnje kampanje koje je proveo prijetnja TA544 koristile su PDF privitke na temu računovodstva. Ti su prilozi sadržavali URL-ove koji su, kada se klikne, vodili do isporuke ZIP arhivske datoteke. Unutar ove arhive, JavaScript datoteka odgovorna je za preuzimanje i pokretanje zlonamjernog softvera WikiLoader, čime započinje lanac napada.

WikiLoader koristi sofisticirane tehnike izbjegavanja

WikiLoader koristi robusne tehnike maskiranja i koristi taktiku izbjegavanja za zaobilaženje sigurnosnog softvera krajnje točke, osiguravajući da se izbjegne otkrivanje tijekom okruženja automatizirane analize. Nadalje, namjerno je dizajniran za dohvaćanje i izvršavanje korisnog sadržaja shellcodea koji se nalazi na Discordu, a u konačnici služi kao lansirna podloga za zlonamjerni softver Ursnif.

Kao što su naveli stručnjaci, WikiLoader se aktivno razvija, a njegovi tvorci redovito provode promjene kako bi svoje tajne operacije održali neotkrivenima i ispod radara.

Vrlo je vjerojatno da će više kriminalnih prijetnji prihvatiti WikiLoader, posebno oni koji su identificirani kao brokeri početnog pristupa (IAB), poznati po uključenosti u aktivnosti koje često dovode do napada ransomwarea. Branitelji i timovi za kibernetičku sigurnost moraju biti oprezni i informirani o ovom novom zlonamjernom softveru i zamršenostima uključenim u isporuku korisnog tereta. Poduzimanje proaktivnih mjera za zaštitu njihovih organizacija od mogućeg iskorištavanja ključno je za ublažavanje njegovog utjecaja.