WikiLoader ļaunprātīga programmatūra

Jauna pikšķerēšanas kampaņa ir vērsta uz organizācijām Itālijā, izmantojot jaunatklātu ļaunprātīgas programmatūras celmu ar nosaukumu WikiLoader. Šī izsmalcinātā lejupielādētāja galvenais mērķis ir instalēt otru ļaunprātīgas programmatūras slodzi uzlauztajās ierīcēs. Lai izvairītos no atklāšanas, WikiLoader izmanto vairākus izvairīšanās mehānismus, norādot, ka tā varētu būt izstrādāta kā īrējama ļaunprātīga programmatūra, kas pieejama konkrētiem kibernoziedznieku draudiem. Nosaukums "WikiLoader" ir atvasināts no ļaunprātīgas programmatūras uzvedības, veicot pieprasījumu Wikipedia un pārbaudot, vai atbilde satur virkni "The Free".

Pirmo reizi šī ļaunprātīgā programmatūra savvaļā tika pamanīta 2022. gada 27. decembrī saistībā ar ielaušanās komplektu, ko vadīja apdraudējuma aktieris, kas pazīstams ar nosaukumu TA544, kas identificēts arī kā Bamboo Spider un Zeus Panda . Jo īpaši šķiet, ka pēdējā lietderīgā slodze WikiLoader infekciju gadījumā ir Ursnif (Gozi). Šis ir bēdīgi slavens ļaunprātīgas programmatūras drauds, kas aprīkots ar banku Trojas zirgu, zagļu un spiegprogrammatūru iespējām.

Kibernoziedznieki izmanto pikšķerēšanas vilinājumus, lai nodrošinātu WikiLoader

Ar WikiLoader saistītās pikšķerēšanas kampaņas ir saistītas ar e-pasta ziņojumu izmantošanu, kas satur dažādus pielikumus, piemēram, Microsoft Excel, Microsoft OneNote vai PDF failus. Šie pielikumi darbojas kā lures, lai izvietotu lejupielādētāja lietderīgo slodzi, kas savukārt atvieglo Ursnif ļaunprātīgas programmatūras instalēšanu.

Interesants novērojums ir tāds, ka WikiLoader, ļaunprogrammatūra, kas ir atbildīga par sākotnējo infekciju, šķiet, ir izplatīta starp vairākām kibernoziedzības grupām. Viena šāda grupa, kas pazīstama kā TA551 vai Shathak, nesen tika novērota, izmantojot WikiLoader savās aktivitātēs 2023. gada marta beigās.

2023. gada jūlija vidū turpmākajās kampaņās, ko veica draudu aktieris TA544, tika izmantoti ar grāmatvedību saistīti PDF pielikumi. Šajos pielikumos bija vietrāži URL, uz kuriem noklikšķinot, tika piegādāts ZIP arhīva fails. Šajā arhīvā JavaScript fails ir atbildīgs par WikiLoader ļaunprogrammatūras lejupielādi un izpildi, uzsākot uzbrukuma ķēdi.

WikiLoader izmanto sarežģītas izvairīšanās metodes

WikiLoader izmanto spēcīgas apmulsināšanas metodes un izvairīšanās taktiku, lai apietu galapunkta drošības programmatūru, nodrošinot, ka tā novērš atklāšanu automatizētās analīzes vidēs. Turklāt tas ir mērķtiecīgi izstrādāts, lai izgūtu un izpildītu Discord mitināto čaulas koda lietderīgo slodzi, kas galu galā kalpo par Ursnif ļaunprātīgas programmatūras palaišanas laukumu.

Kā norāda eksperti, WikiLoader tiek aktīvi izstrādāts, un tā veidotāji regulāri ievieš izmaiņas, lai saglabātu savas slepenās darbības neatklātas un zem radara.

Ļoti iespējams, ka WikiLoader izmantos vairāk noziedzīgu apdraudējumu dalībnieku, īpaši tie, kas identificēti kā sākotnējās piekļuves brokeri (IAB), kas ir pazīstami ar iesaistīšanos darbībās, kas bieži izraisa izspiedējvīrusu uzbrukumus. Aizstāvjiem un kiberdrošības komandām jābūt modriem un jāinformē par šo jauno ļaunprātīgo programmatūru un sarežģījumiem, kas saistīti ar kravas piegādi. Proaktīvu pasākumu veikšana, lai aizsargātu savas organizācijas pret potenciālu izmantošanu, ir būtiska tās ietekmes mazināšanai.