WikiLoader-malware

Een nieuwe phishing-campagne is gericht op organisaties in Italië en maakt gebruik van een nieuw ontdekte malwarestam genaamd WikiLoader. Deze geavanceerde downloader heeft als hoofddoel het installeren van een tweede lading malware op gecompromitteerde apparaten. Om detectie te voorkomen, maakt WikiLoader gebruik van meerdere ontwijkingsmechanismen, wat aangeeft dat het mogelijk is ontworpen als huurmalware, beschikbaar voor specifieke cybercriminele bedreigingsactoren. De naam 'WikiLoader' is afgeleid van het gedrag van de malware om een verzoek te doen aan Wikipedia en te verifiëren of het antwoord de tekenreeks 'The Free' bevat.

De eerste waarneming van deze malware in het wild vond plaats op 27 december 2022, in verband met een inbraakset die werd beheerd door een bedreigingsactor die bekend staat als TA544, ook geïdentificeerd als Bamboo Spider en Zeus Panda . Met name lijkt de laatste lading in WikiLoader-infecties Ursnif (Gozi) te zijn. Dit is een beruchte malwaredreiging die is uitgerust met bank-trojans, stealers en spyware.

Cybercriminelen gebruiken phishing-lokmiddelen om WikiLoader te leveren

De phishing-campagnes die aan WikiLoader zijn gekoppeld, draaien om het gebruik van e-mails met verschillende bijlagen zoals Microsoft Excel, Microsoft OneNote of PDF-bestanden. Deze bijlagen fungeren als lokaas om de payload van de downloader in te zetten, wat op zijn beurt de installatie van de Ursnif-malware vergemakkelijkt.

Een interessante observatie is dat WikiLoader, de malware die verantwoordelijk is voor de eerste infectie, lijkt te worden gedeeld door meerdere cybercriminaliteitsgroepen. Een van die groepen, bekend als TA551 of Shathak, is onlangs geobserveerd met behulp van WikiLoader in zijn activiteiten vanaf eind maart 2023.

Halverwege juli 2023 maakten verdere campagnes van de bedreigingsactor TA544 gebruik van PDF-bijlagen met een boekhoudkundig thema. Deze bijlagen bevatten URL's die, wanneer erop werd geklikt, leidden tot de levering van een ZIP-archiefbestand. Binnen dit archief is een JavaScript-bestand verantwoordelijk voor het downloaden en uitvoeren van de WikiLoader-malware, waarmee de aanvalsketen wordt geïnitieerd.

WikiLoader maakt gebruik van geavanceerde ontwijkingstechnieken

WikiLoader maakt gebruik van robuuste verduisteringstechnieken en ontwijkende tactieken om endpoint-beveiligingssoftware te omzeilen, waardoor detectie tijdens geautomatiseerde analyse-omgevingen wordt voorkomen. Bovendien is het doelbewust ontworpen om een shellcode-payload op te halen en uit te voeren die wordt gehost op Discord, en uiteindelijk dient als een startpunt voor de Ursnif-malware.

Zoals aangegeven door experts, wordt WikiLoader actief ontwikkeld en de makers voeren regelmatig wijzigingen door om hun geheime operaties onopgemerkt en onder de radar te houden.

Het is zeer waarschijnlijk dat meer criminele dreigingsactoren WikiLoader zullen gebruiken, vooral degenen die zijn geïdentificeerd als initial access brokers (IAB's), bekend om hun activiteiten die vaak leiden tot ransomware-aanvallen. Verdedigers en cyberbeveiligingsteams moeten alert en geïnformeerd zijn over deze nieuwe malware en de fijne kneepjes van de levering van payloads. Het nemen van proactieve maatregelen om hun organisaties te beschermen tegen mogelijke uitbuiting is essentieel om de impact ervan te beperken.