„WikiLoader“ kenkėjiška programa

Nauja sukčiavimo kampanija skirta Italijos organizacijoms, naudojant naujai atrastą kenkėjiškų programų atmainą, pavadintą „WikiLoader“. Šios sudėtingos parsisiuntimo programos pagrindinis tikslas yra įdiegti antrą kenkėjiškų programų paketą pažeistuose įrenginiuose. Kad būtų išvengta aptikimo, „WikiLoader“ naudoja kelis vengimo mechanizmus, nurodančius, kad jis galėjo būti sukurtas kaip nuomojama kenkėjiška programa, prieinama konkretiems kibernetinių nusikaltėlių grėsmių veikėjams. Pavadinimas „WikiLoader“ yra kilęs iš kenkėjiškos programos elgesio pateikiant užklausą Vikipedijai ir tikrinant, ar atsakyme yra eilutė „The Free“.

Pirmą kartą ši kenkėjiška programa laukinėje gamtoje buvo pastebėta 2022 m. gruodžio 27 d., susijusią su įsibrovimo rinkiniu, kurį valdė grėsmės veikėjas, žinomas kaip TA544, taip pat žinomas kaip Bamboo Spider ir Zeus Panda . Pažymėtina, kad galutinė „WikiLoader“ infekcijų naudinga apkrova yra Ursnif (Gozi). Tai liūdnai pagarsėjusi kenkėjiškų programų grėsmė, turinti bankinių Trojos arklių, vagysčių ir šnipinėjimo programų.

Kibernetiniai nusikaltėliai naudoja sukčiavimo jaukus, kad pristatytų „WikiLoader“.

Su „WikiLoader“ susietos sukčiavimo kampanijos yra susijusios su el. laiškų su įvairiais priedais, pvz., „Microsoft Excel“, „Microsoft OneNote“ ar PDF failais, naudojimu. Šie priedai veikia kaip viliokliai, padedantys įdiegti siuntėjo naudingąją apkrovą, o tai savo ruožtu palengvina Ursnif kenkėjiškos programos įdiegimą.

Įdomus pastebėjimas yra tas, kad „WikiLoader“, kenkėjiška programa, atsakinga už pradinę užkrėtimą, yra bendrai naudojama kelioms elektroninių nusikaltimų grupėms. Viena tokių grupių, žinoma kaip TA551 arba Shathak, neseniai buvo pastebėta, kad 2023 m. kovo pabaigoje savo veikloje naudojo „WikiLoader“.

2023 m. liepos viduryje tolesnėse grėsmių veikėjo TA544 kampanijose buvo naudojami apskaitos temos PDF priedai. Šiuose prieduose buvo URL, kuriuos spustelėjus buvo pristatytas ZIP archyvo failas. Šiame archyve „JavaScript“ failas yra atsakingas už „WikiLoader“ kenkėjiškos programos atsisiuntimą ir vykdymą, inicijuojant atakų grandinę.

„WikiLoader“ naudoja sudėtingus vengimo būdus

„WikiLoader“ naudoja patikimus užmaskavimo metodus ir vengimo taktiką, kad apeitų galinio taško saugos programinę įrangą, užtikrindama, kad ji išvengtų aptikimo automatizuotose analizės aplinkose. Be to, jis yra tikslingai sukurtas taip, kad gautų ir vykdytų „Discord“ esančią apvalkalo kodo naudingąją apkrovą, kuri galiausiai tarnauja kaip Ursnif kenkėjiškos programos paleidimo vieta.

Kaip nurodė ekspertai, „WikiLoader“ yra aktyviai kuriama, o jos kūrėjai reguliariai įgyvendina pakeitimus, kad slaptos operacijos būtų neaptinkamos ir stebimos.

Labai tikėtina, kad daugiau nusikalstamos grėsmės veikėjų imsis WikiLoader, ypač tie, kurie įvardijami kaip pradiniai prieigos tarpininkai (IAB), žinomi dėl veiklos, kuri dažnai sukelia išpirkos reikalaujančių programų atakas. Gynėjai ir kibernetinio saugumo komandos turi būti atidūs ir informuoti apie šią naują kenkėjišką programą ir sudėtingumą, susijusią su naudingojo krovinio pristatymu. Norint sušvelninti jo poveikį, būtina imtis iniciatyvių priemonių, siekiant apsaugoti savo organizacijas nuo galimo išnaudojimo.