Вредоносное ПО WikiLoader

Новая фишинговая кампания нацелена на организации в Италии с использованием недавно обнаруженного штамма вредоносного ПО под названием WikiLoader. Основной целью этого сложного загрузчика является установка второй полезной нагрузки вредоносного ПО на скомпрометированные устройства. Чтобы избежать обнаружения, WikiLoader использует несколько механизмов уклонения, что указывает на то, что он мог быть разработан как вредоносное ПО по найму, доступное для конкретных киберпреступников. Название «WikiLoader» происходит от поведения вредоносного ПО, которое делает запрос к Википедии и проверяет, содержит ли ответ строку «The Free».

Первое обнаружение этого вредоносного ПО в дикой природе произошло 27 декабря 2022 года в связи с набором вторжений, управляемым злоумышленником, известным как TA544, также известным как Bamboo Spider и Zeus Panda . Примечательно, что последней полезной нагрузкой при заражении WikiLoader является Ursnif (Gozi). Это печально известная вредоносная программа, оснащенная банковскими троянами, стилерами и шпионскими программами.

Киберпреступники используют фишинговые приманки для доставки WikiLoader

Фишинговые кампании, связанные с WikiLoader, вращаются вокруг использования электронных писем, содержащих различные вложения, такие как файлы Microsoft Excel, Microsoft OneNote или PDF. Эти вложения действуют как приманки для развертывания полезной нагрузки загрузчика, что, в свою очередь, облегчает установку вредоносного ПО Ursnif.

Интересно отметить, что WikiLoader, вредоносное ПО, ответственное за первоначальное заражение, по-видимому, используется несколькими группами киберпреступников. Одна такая группа, известная как TA551 или Shathak, недавно использовала WikiLoader в своей деятельности в конце марта 2023 года.

В середине июля 2023 года злоумышленник TA544 в дальнейших кампаниях использовал вложения в формате PDF на бухгалтерскую тематику. Эти вложения содержали URL-адреса, которые при нажатии приводили к доставке файла ZIP-архива. В этом архиве файл JavaScript отвечает за загрузку и выполнение вредоносного ПО WikiLoader, инициируя цепочку атак.

WikiLoader использует сложные методы уклонения

WikiLoader использует надежные методы запутывания и тактику обхода для обхода программного обеспечения для защиты конечных точек, гарантируя, что оно не будет обнаружено в средах автоматизированного анализа. Кроме того, он специально разработан для извлечения и выполнения полезной нагрузки шелл-кода, размещенного на Discord, что в конечном итоге служит стартовой площадкой для вредоносного ПО Ursnif.

Как отмечают эксперты, WikiLoader активно развивается, и его создатели регулярно вносят изменения, чтобы их тайные операции оставались незамеченными и незамеченными.

Весьма вероятно, что WikiLoader будет использоваться большим числом криминальных субъектов, особенно тех, которые идентифицированы как посредники первоначального доступа (IAB), известные своей деятельностью, которая часто приводит к атакам программ-вымогателей. Защитники и группы кибербезопасности должны быть начеку и проинформированы об этом новом вредоносном ПО и сложностях, связанных с доставкой полезной нагрузки. Принятие упреждающих мер по защите своих организаций от потенциальной эксплуатации имеет важное значение для смягчения ее воздействия.