위키로더 악성코드

새로운 피싱 캠페인은 WikiLoader라는 새로 발견된 맬웨어 변종을 활용하여 이탈리아의 조직을 대상으로 하고 있습니다. 이 정교한 다운로더의 주요 목표는 손상된 장치에 맬웨어의 두 번째 페이로드를 설치하는 것입니다. 탐지를 피하기 위해 WikiLoader는 여러 회피 메커니즘을 사용하여 특정 사이버 범죄 위협 행위자가 사용할 수 있는 고용용 맬웨어로 설계되었을 수 있음을 나타냅니다. 'WikiLoader'라는 이름은 Wikipedia에 요청을 하고 응답에 'The Free'라는 문자열이 포함되어 있는지 확인하는 맬웨어의 동작에서 파생되었습니다.

이 맬웨어는 2022년 12월 27일에 TA544(Bamboo Spider 및 Zeus Panda 로도 식별됨)라는 위협 행위자가 운영하는 침입 세트와 관련하여 야생에서 처음 발견되었습니다. 특히 WikiLoader 감염의 최종 페이로드는 Ursnif (Gozi)인 것으로 보입니다. 이것은 뱅킹 트로이 목마, 스틸러 및 스파이웨어 기능을 갖춘 악명 높은 맬웨어 위협입니다.

사이버 범죄자는 피싱 미끼를 사용하여 WikiLoader를 전달합니다.

WikiLoader에 연결된 피싱 캠페인은 Microsoft Excel, Microsoft OneNote 또는 PDF 파일과 같은 다양한 첨부 파일이 포함된 이메일 사용을 중심으로 진행됩니다. 이러한 첨부 파일은 다운로더 페이로드를 배포하는 미끼 역할을 하여 Ursnif 맬웨어 설치를 용이하게 합니다.

흥미로운 관찰은 초기 감염을 담당하는 맬웨어인 WikiLoader가 여러 사이버 범죄 그룹 간에 공유되는 것으로 보인다는 것입니다. TA551 또는 Shathak으로 알려진 그러한 그룹 중 하나는 최근 2023년 3월 말 활동에서 WikiLoader를 사용하는 것이 관찰되었습니다.

2023년 7월 중순, 위협 행위자 TA544가 수행한 추가 캠페인은 회계 주제 PDF 첨부 파일을 사용했습니다. 이러한 첨부 파일에는 클릭 시 ZIP 아카이브 파일의 배달로 이어지는 URL이 포함되어 있습니다. 이 아카이브 내에서 JavaScript 파일은 WikiLoader 맬웨어를 다운로드하고 실행하여 공격 체인을 시작합니다.

WikiLoader는 정교한 회피 기술을 사용합니다.

WikiLoader는 강력한 난독화 기술을 사용하고 회피 전술을 사용하여 엔드포인트 보안 소프트웨어를 우회하여 자동화된 분석 환경에서 탐지를 방지합니다. 또한 Discord에서 호스팅되는 셸코드 페이로드를 검색 및 실행하도록 의도적으로 설계되어 궁극적으로 Ursnif 맬웨어의 런치패드 역할을 합니다.

전문가들이 지적한 바와 같이 WikiLoader는 활발히 개발되고 있으며 제작자는 정기적으로 변경 사항을 구현하여 탐지되지 않고 레이더 아래에서 비밀 작전을 유지합니다.

랜섬웨어 공격으로 이어지는 활동에 참여하는 것으로 알려진 IAB(초기 액세스 브로커)로 식별된 사람들이 특히 더 많은 범죄 위협 행위자가 WikiLoader를 채택할 가능성이 높습니다. 방어자와 사이버 보안 팀은 이 새로운 맬웨어와 페이로드 전달과 관련된 복잡성에 대해 경고하고 정보를 얻어야 합니다. 잠재적 악용으로부터 조직을 보호하기 위한 사전 조치를 취하는 것은 그 영향을 완화하는 데 필수적입니다.