WikiLoader Malware

Uma nova campanha de phishing tem como alvo organizações na Itália, utilizando um tipo de malware recém-descoberto chamado WikiLoader. Este downloader sofisticado tem como objetivo principal instalar uma segunda carga de malware em dispositivos comprometidos. Para evitar a detecção, o WikiLoader emprega vários mecanismos de evasão, indicando que pode ter sido projetado como um malware de aluguel, disponível para criminosos cibernéticos específicos. O nome 'WikiLoader' é derivado do comportamento do malware de fazer uma solicitação à Wikipedia e verificar se a resposta contém a string 'The Free'.

O primeiro avistamento desse malware na natureza ocorreu em 27 de dezembro de 2022, em conexão com um conjunto de invasões operado por um agente de ameaças conhecido como TA544, também identificado como Bamboo Spider e Zeus Panda. Notavelmente, a carga final nas infecções WikiLoader parece ser Ursnif (Gozi). Esta é uma ameaça de malware notória equipada com recursos de Trojan bancário, ladrão e spyware.

Cibercriminosos Usam Iscas de Phishing para Entregar o WikiLoader

As campanhas de phishing conectadas ao WikiLoader giram em torno do uso de e-mails contendo vários anexos como Microsoft Excel, Microsoft OneNote ou arquivos PDF. Esses anexos atuam como iscas para implantar a carga útil do downloader, que, por sua vez, facilita a instalação do malware Ursnif.

Uma observação interessante é que o WikiLoader, o malware responsável pela infecção inicial, parece ser compartilhado entre vários grupos de crimes cibernéticos. Um desses grupos, conhecido como TA551 ou Shathak, foi recentemente observado usando o WikiLoader em suas atividades no final de março de 2023.

Em meados de julho de 2023, outras campanhas realizadas pelo agente de ameaças TA544 empregaram anexos em PDF com temas de contabilidade. Esses anexos continham URLs que, quando clicados, levavam à entrega de um arquivo ZIP. Dentro desse arquivo, um arquivo JavaScript é responsável por baixar e executar o malware WikiLoader, iniciando a cadeia de ataque.

O WikiLoader Emprega Técnica de Evasão Sofisticadas

O WikiLoader emprega técnicas de ofuscação robustas e emprega táticas evasivas para contornar o software de segurança de endpoint, garantindo que ele evite a detecção durante ambientes de análise automatizada. Além disso, ele foi projetado propositadamente para recuperar e executar uma carga de shellcode hospedada no Discord, servindo como uma plataforma de lançamento para o malware Ursnif.

Conforme indicado por especialistas, o WikiLoader está sendo desenvolvido ativamente e seus criadores implementam mudanças regularmente para manter suas operações secretas não detectadas e sob o radar.

É altamente provável que mais agentes de ameaças criminosas adotem o WikiLoader, especialmente aqueles identificados como IABs (Initial Access Brokers), conhecidos por se envolverem em atividades que geralmente levam a ataques de ransomware. Defensores e equipes de segurança cibernética devem estar alertas e informados sobre esse novo malware e as complexidades envolvidas na entrega de carga útil. Adotar medidas proativas para proteger suas organizações contra possíveis explorações é essencial para mitigar seu impacto.