Perisian Hasad WikiLoader

Kempen pancingan data baharu menyasarkan organisasi di Itali, menggunakan jenis perisian hasad yang baru ditemui bernama WikiLoader. Pemuat turun yang canggih ini mempunyai objektif utama untuk memasang muatan kedua perisian hasad pada peranti yang terjejas. Untuk mengelakkan pengesanan, WikiLoader menggunakan pelbagai mekanisme pengelakan, menunjukkan bahawa ia mungkin telah direka bentuk sebagai perisian hasad untuk disewa, tersedia untuk pelakon ancaman penjenayah siber tertentu. Nama 'WikiLoader' berasal daripada tingkah laku perisian hasad membuat permintaan ke Wikipedia dan mengesahkan sama ada respons mengandungi rentetan 'The Free.'

Penampakan pertama perisian hasad ini di alam liar berlaku pada 27 Disember 2022, berkaitan dengan set pencerobohan yang dikendalikan oleh pelakon ancaman yang dikenali sebagai TA544, juga dikenal pasti sebagai Bamboo Spider dan Zeus Panda . Terutamanya, muatan akhir dalam jangkitan WikiLoader nampaknya Ursnif (Gozi). Ini adalah ancaman perisian hasad terkenal yang dilengkapi dengan keupayaan Trojan perbankan, pencuri dan perisian pengintip.

Penjenayah Siber Menggunakan Gewang Phishing untuk Menghantar WikiLoader

Kempen pancingan data yang disambungkan ke WikiLoader berkisar pada penggunaan e-mel yang mengandungi pelbagai lampiran seperti fail Microsoft Excel, Microsoft OneNote atau PDF. Lampiran ini bertindak sebagai gewang untuk menggunakan muatan pemuat turun, yang seterusnya memudahkan pemasangan perisian hasad Ursnif.

Pemerhatian yang menarik ialah WikiLoader, perisian hasad yang bertanggungjawab untuk jangkitan awal, nampaknya dikongsi di kalangan pelbagai kumpulan jenayah siber. Satu kumpulan sedemikian, yang dikenali sebagai TA551 atau Shathak, telah diperhatikan baru-baru ini menggunakan WikiLoader dalam aktivitinya pada akhir Mac 2023.

Pada pertengahan Julai 2023, kempen selanjutnya yang dijalankan oleh pelakon ancaman TA544 menggunakan lampiran PDF bertema perakaunan. Lampiran ini mengandungi URL yang, apabila diklik, membawa kepada penghantaran fail arkib ZIP. Dalam arkib ini, fail JavaScript bertanggungjawab untuk memuat turun dan melaksanakan perisian hasad WikiLoader, memulakan rantaian serangan.

WikiLoader Menggunakan Teknik Pengelakan Canggih

WikiLoader menggunakan teknik pengeliruan yang mantap dan menggunakan taktik mengelak untuk memintas perisian keselamatan titik akhir, memastikan ia mengelakkan pengesanan semasa persekitaran analisis automatik. Tambahan pula, ia direka dengan sengaja untuk mendapatkan dan melaksanakan muatan kod shell yang dihoskan pada Discord, yang akhirnya berfungsi sebagai pad pelancaran untuk perisian hasad Ursnif.

Seperti yang ditunjukkan oleh pakar, WikiLoader sedang giat dibangunkan, dan penciptanya kerap melaksanakan perubahan untuk mengekalkan operasi rahsia mereka tanpa dikesan dan di bawah radar.

Kemungkinan besar lebih ramai pelakon ancaman jenayah akan menerima pakai WikiLoader, terutamanya yang dikenal pasti sebagai broker akses awal (IAB), yang terkenal kerana terlibat dalam aktiviti yang sering membawa kepada serangan perisian tebusan. Pasukan pembela dan keselamatan siber mesti berwaspada dan dimaklumkan tentang perisian hasad baharu ini dan selok-belok yang terlibat dalam penghantaran muatan. Mengambil langkah proaktif untuk melindungi organisasi mereka daripada kemungkinan eksploitasi adalah penting dalam mengurangkan kesannya.