WikiLoader rosszindulatú program

Egy új adathalász kampány az olaszországi szervezeteket célozza meg, a WikiLoader nevű rosszindulatú program újonnan felfedezett törzsét felhasználva. Ennek a kifinomult letöltőnek az elsődleges célja, hogy a kártevők második rakományát telepítse a feltört eszközökre. Az észlelés elkerülése érdekében a WikiLoader többféle kijátszási mechanizmust alkalmaz, jelezve, hogy bérelhető rosszindulatú programnak készült, amely bizonyos kiberbűnözők számára elérhető. A "WikiLoader" név a rosszindulatú program viselkedéséből származik, amikor kérést küld a Wikipédiának, és ellenőrzi, hogy a válasz tartalmazza-e a "The Free" karakterláncot.

Ezt a rosszindulatú programot a vadonban először 2022. december 27-én észlelték egy behatolási sorozattal kapcsolatban, amelyet egy TA544 néven ismert fenyegetőszereplő működtetett, akit Bamboo Spider és Zeus Panda néven is azonosítottak. Úgy tűnik, hogy a WikiLoader fertőzések végső hasznos terhe az Ursnif (Gozi). Ez egy hírhedt rosszindulatú fenyegetés, amely banki trójai, lopási és spyware képességekkel rendelkezik.

A kiberbűnözők adathalász csalikat használnak a WikiLoader szolgáltatáshoz

A WikiLoaderhez kapcsolódó adathalász kampányok a különféle mellékleteket, például Microsoft Excel, Microsoft OneNote vagy PDF fájlokat tartalmazó e-mailek használata körül forognak. Ezek a mellékletek csalogatóként működnek a letöltő hasznos terhelésének telepítéséhez, ami viszont megkönnyíti az Ursnif rosszindulatú program telepítését.

Érdekes megfigyelés, hogy a WikiLoader, a kezdeti fertőzésért felelős rosszindulatú program, úgy tűnik, több számítógépes bűnözői csoport között megoszlik. Az egyik ilyen csoport, a TA551 vagy Shathak, a közelmúltban megfigyelték, hogy 2023 márciusának végén a WikiLoadert használta tevékenységében.

2023. július közepén a TA544 fenyegetés szereplőjének további kampányaiban könyvelési témájú PDF-mellékleteket használtak. Ezek a mellékletek olyan URL-eket tartalmaztak, amelyekre kattintva egy ZIP archív fájl kézbesítéséhez vezetett. Ebben az archívumban egy JavaScript fájl felelős a WikiLoader kártevő letöltéséért és végrehajtásáért, elindítva a támadási láncot.

A WikiLoader kifinomult kijátszási technikákat alkalmaz

A WikiLoader robusztus obfuszkációs technikákat alkalmaz, és kitérő taktikákat alkalmaz a végpont biztonsági szoftverek megkerülésére, biztosítva, hogy elkerülje az észlelést az automatizált elemzési környezetek során. Ezen túlmenően céltudatosan úgy tervezték, hogy lekérje és végrehajtsa a Discord-on tárolt shellkódot, amely végül az Ursnif rosszindulatú program indítópultjaként szolgál.

Amint azt a szakértők jelezték, a WikiLoadert aktívan fejlesztik, és készítői rendszeresen hajtanak végre változtatásokat, hogy rejtett műveleteiket észrevétlenül és radar alatt tartsák.

Nagyon valószínű, hogy több bűnözői fenyegetést is alkalmazó szereplő veszi át a WikiLoader alkalmazást, különösen azok, akiket kezdeti hozzáférési közvetítőknek (IAB) azonosítottak, és amelyek arról ismertek, hogy olyan tevékenységeket folytatnak, amelyek gyakran zsarolóprogram-támadásokhoz vezetnek. A védőknek és a kiberbiztonsági csapatoknak ébernek kell lenniük, és tájékoztatniuk kell erről az új rosszindulatú programról, valamint a rakomány szállításának bonyolultságáról. A proaktív intézkedések megtétele annak érdekében, hogy megvédjék szervezeteiket a potenciális kizsákmányolással szemben, elengedhetetlen annak hatásainak mérsékléséhez.