WikiLoader skadelig programvare

En ny phishing-kampanje er rettet mot organisasjoner i Italia, ved å bruke en nyoppdaget stamme av skadelig programvare kalt WikiLoader. Denne sofistikerte nedlasteren har som hovedmål å installere en ny nyttelast med skadelig programvare på kompromitterte enheter. For å unngå oppdagelse bruker WikiLoader flere unnvikelsesmekanismer, noe som indikerer at den kan ha blitt utformet som en malware-for-hire, tilgjengelig for spesifikke cyberkriminelle trusselaktører. Navnet "WikiLoader" er avledet fra skadelig programvares oppførsel ved å sende en forespørsel til Wikipedia og verifisere om svaret inneholder strengen "The Free".

Den første observasjonen av denne skadevare i naturen skjedde 27. desember 2022, i forbindelse med et inntrengningssett operert av en trusselaktør kjent som TA544, også identifisert som Bamboo Spider og Zeus Panda . Spesielt ser det ut til at den endelige nyttelasten i WikiLoader-infeksjoner er Ursnif (Gozi). Dette er en beryktet trussel mot skadelig programvare utstyrt med banktrojanere, stjele og spionprogrammer.

Nettkriminelle bruker phishing-lokker for å levere WikiLoader

Phishing-kampanjene knyttet til WikiLoader dreier seg om bruk av e-poster som inneholder ulike vedlegg som Microsoft Excel, Microsoft OneNote eller PDF-filer. Disse vedleggene fungerer som lokker for å distribuere nedlasterens nyttelast, som igjen letter installasjonen av Ursnif-malware.

En interessant observasjon er at WikiLoader, skadelig programvare som er ansvarlig for den første infeksjonen, ser ut til å deles mellom flere nettkriminalitetsgrupper. En slik gruppe, kjent som TA551 eller Shathak, har nylig blitt observert ved å bruke WikiLoader i sine aktiviteter fra slutten av mars 2023.

I midten av juli 2023 brukte ytterligere kampanjer utført av trusselaktøren TA544 PDF-vedlegg med regnskapstema. Disse vedleggene inneholdt URL-er som, når de ble klikket, førte til levering av en ZIP-arkivfil. Innenfor dette arkivet er en JavaScript-fil ansvarlig for nedlasting og utføring av WikiLoader-malwaren, og initierer angrepskjeden.

WikiLoader bruker sofistikerte unnvikelsesteknikker

WikiLoader bruker robuste tilsløringsteknikker og bruker unnvikende taktikker for å omgå endepunktsikkerhetsprogramvare, og sikrer at den unngår gjenkjenning under automatiserte analysemiljøer. Videre er den målrettet utformet for å hente og kjøre en shellcode-nyttelast som er vert på Discord, og til slutt fungerer som en startrampe for Ursnif-malware.

Som antydet av eksperter, utvikles WikiLoader aktivt, og skaperne gjennomfører regelmessig endringer for å opprettholde deres hemmelige operasjoner uoppdaget og under radaren.

Det er høyst sannsynlig at flere kriminelle trusselaktører vil ta i bruk WikiLoader, spesielt de som er identifisert som initial access brokers (IAB), kjent for å engasjere seg i aktiviteter som ofte fører til løsepengevareangrep. Forsvarere og cybersikkerhetsteam må være på vakt og informert om denne nye skadevare og vanskelighetene som er involvert i levering av nyttelast. Å ta proaktive tiltak for å beskytte deres organisasjoner mot potensiell utnyttelse er avgjørende for å redusere virkningen.