Złośliwe oprogramowanie WikiLoadera

Celem nowej kampanii phishingowej są organizacje we Włoszech, wykorzystujące nowo odkryty szczep złośliwego oprogramowania o nazwie WikiLoader. Głównym celem tego wyrafinowanego narzędzia do pobierania jest zainstalowanie drugiego ładunku złośliwego oprogramowania na zaatakowanych urządzeniach. Aby uniknąć wykrycia, WikiLoader wykorzystuje wiele mechanizmów unikania, co wskazuje, że mogło zostać zaprojektowane jako złośliwe oprogramowanie do wynajęcia, dostępne dla określonych cyberprzestępców. Nazwa „WikiLoader” pochodzi od zachowania złośliwego oprogramowania polegającego na wysyłaniu żądania do Wikipedii i sprawdzaniu, czy odpowiedź zawiera ciąg „The Free”.

Pierwsze zaobserwowanie tego złośliwego oprogramowania w środowisku naturalnym miało miejsce 27 grudnia 2022 r. w związku z zestawem włamań obsługiwanym przez ugrupowanie cyberprzestępcze znane jako TA544, identyfikowane również jako Bamboo Spider i Zeus Panda . Warto zauważyć, że ostatnim ładunkiem w infekcjach WikiLoader wydaje się być Ursnif (Gozi). Jest to notoryczne zagrożenie złośliwym oprogramowaniem wyposażone w funkcje trojana bankowego, kradzieży i oprogramowania szpiegującego.

Cyberprzestępcy wykorzystują przynęty phishingowe do dostarczania programu WikiLoader

Kampanie phishingowe powiązane z WikiLoader koncentrują się na wykorzystywaniu wiadomości e-mail zawierających różne załączniki, takie jak pliki Microsoft Excel, Microsoft OneNote lub PDF. Załączniki te działają jak przynęty do rozmieszczenia ładunku downloadera, co z kolei ułatwia instalację szkodliwego oprogramowania Ursnif.

Interesującą obserwacją jest to, że WikiLoader, złośliwe oprogramowanie odpowiedzialne za początkową infekcję, wydaje się być współdzielone przez wiele grup cyberprzestępczych. Jedna z takich grup, znana jako TA551 lub Shathak, była ostatnio obserwowana przy użyciu WikiLoadera w swoich działaniach pod koniec marca 2023 r.

W połowie lipca 2023 r. kolejne kampanie prowadzone przez ugrupowanie cyberprzestępcze TA544 wykorzystywały załączniki PDF o tematyce księgowej. Załączniki te zawierały adresy URL, które po kliknięciu prowadziły do dostarczenia pliku archiwum ZIP. W tym archiwum plik JavaScript jest odpowiedzialny za pobieranie i uruchamianie złośliwego oprogramowania WikiLoader, inicjującego łańcuch ataków.

WikiLoader stosuje wyrafinowane techniki unikania

WikiLoader wykorzystuje solidne techniki zaciemniania i stosuje taktyki unikania, aby ominąć oprogramowanie zabezpieczające punkty końcowe, zapewniając, że uniknie wykrycia w zautomatyzowanych środowiskach analitycznych. Co więcej, jest celowo zaprojektowany do pobierania i wykonywania ładunku kodu powłoki hostowanego na Discordzie, ostatecznie służąc jako starter dla złośliwego oprogramowania Ursnif.

Jak wskazują eksperci, WikiLoader jest aktywnie rozwijany, a jego twórcy regularnie wprowadzają zmiany, aby ich tajne operacje pozostały niewykryte i ukryte przed radarem.

Jest wysoce prawdopodobne, że więcej cyberprzestępców zastosuje WikiLoader, zwłaszcza ci zidentyfikowani jako brokerzy dostępu początkowego (IAB), znani z angażowania się w działania, które często prowadzą do ataków ransomware. Obrońcy i zespoły ds. cyberbezpieczeństwa muszą być czujni i informowani o tym nowym złośliwym oprogramowaniu i zawiłościach związanych z dostarczaniem ładunku. Podejmowanie proaktywnych środków w celu ochrony ich organizacji przed potencjalnym wykorzystaniem ma zasadnicze znaczenie dla złagodzenia jego skutków.