Malware WikiLoader

O nouă campanie de phishing vizează organizațiile din Italia, utilizând o tulpină de malware recent descoperită, numită WikiLoader. Acest program de descărcare sofisticat are un obiectiv principal de a instala o a doua încărcătură utilă de malware pe dispozitivele compromise. Pentru a evita detectarea, WikiLoader folosește mai multe mecanisme de evaziune, ceea ce indică faptul că ar fi putut fi conceput ca un malware pentru închiriere, disponibil pentru anumiți actori de amenințări cibercriminale. Numele „WikiLoader” este derivat din comportamentul malware-ului de a face o solicitare către Wikipedia și de a verifica dacă răspunsul conține șirul „The Free”.

Prima observare a acestui malware în sălbăticie a avut loc pe 27 decembrie 2022, în legătură cu un set de intruziune operat de un actor de amenințare cunoscut sub numele de TA544, identificat și ca Bamboo Spider și Zeus Panda . În special, sarcina utilă finală în infecțiile WikiLoader pare să fie Ursnif (Gozi). Aceasta este o amenințare malware notorie dotată cu troian bancar, furt și capabilități de spyware.

Infractorii cibernetici folosesc momeli pentru phishing pentru a livra WikiLoader

Campaniile de phishing conectate la WikiLoader gravitează în jurul utilizării e-mail-urilor care conțin diferite atașamente precum Microsoft Excel, Microsoft OneNote sau fișiere PDF. Aceste atașamente acționează ca momeli pentru a implementa încărcătura utilă a descărcatorului, care, la rândul său, facilitează instalarea malware-ului Ursnif.

O observație interesantă este că WikiLoader, malware-ul responsabil pentru infecția inițială, pare să fie împărțit între mai multe grupuri de criminalitate cibernetică. Un astfel de grup, cunoscut sub numele de TA551 sau Shathak, a fost observat recent folosind WikiLoader în activitățile sale de la sfârșitul lunii martie 2023.

La mijlocul lunii iulie 2023, alte campanii desfășurate de actorul de amenințare TA544 au folosit atașamente PDF cu tematică contabilă. Aceste atașamente conțineau adrese URL care, atunci când se făceau clic, duceau la livrarea unui fișier de arhivă ZIP. În cadrul acestei arhive, un fișier JavaScript este responsabil pentru descărcarea și executarea malware-ului WikiLoader, inițiind lanțul de atac.

WikiLoader folosește tehnici de evaziune sofisticate

WikiLoader folosește tehnici robuste de ofuscare și folosește tactici evazive pentru a ocoli software-ul de securitate a terminalelor, asigurându-se că evită detectarea în timpul mediilor de analiză automată. În plus, este conceput intenționat pentru a prelua și executa o încărcare utilă shellcode găzduită pe Discord, servind în cele din urmă drept rampă de lansare pentru malware-ul Ursnif.

După cum au indicat experții, WikiLoader este dezvoltat în mod activ, iar creatorii săi implementează în mod regulat modificări pentru a-și menține operațiunile ascunse nedetectate și sub radar.

Este foarte probabil ca mai mulți actori de amenințări criminale să adopte WikiLoader, în special cei identificați ca brokeri de acces inițial (IAB), cunoscuți pentru implicarea în activități care conduc adesea la atacuri ransomware. Apărătorii și echipele de securitate cibernetică trebuie să fie atenți și informați cu privire la acest nou malware și la complexitățile implicate în livrarea încărcăturii utile. Luarea de măsuri proactive pentru a-și proteja organizațiile împotriva potențialei exploatări este esențială pentru atenuarea impactului acesteia.