Škodlivý softvér WikiLoader

Nová phishingová kampaň sa zameriava na organizácie v Taliansku, pričom využíva novoobjavený kmeň malvéru s názvom WikiLoader. Hlavným cieľom tohto sofistikovaného sťahovača je inštalácia druhého užitočného obsahu škodlivého softvéru na napadnuté zariadenia. Aby sa zabránilo odhaleniu, WikiLoader využíva viacero únikových mechanizmov, čo naznačuje, že mohol byť navrhnutý ako malvér na prenájom, dostupný pre konkrétnych aktérov kyberzločineckých hrozieb. Názov 'WikiLoader' je odvodený od správania malvéru pri zadávaní požiadavky na Wikipédii a overovaní, či odpoveď obsahuje reťazec 'The Free.'

K prvému spozorovaniu tohto malvéru vo voľnej prírode došlo 27. decembra 2022 v súvislosti so súpravou vniknutia obsluhovanou aktérom hrozby známym ako TA544, ktorý je tiež identifikovaný ako Bamboo Spider a Zeus Panda . Zdá sa, že konečným užitočným zaťažením pri infekciách WikiLoader je Ursnif (Gozi). Toto je notoricky známa hrozba škodlivého softvéru vybavená funkciami bankového trójskeho koňa, zlodeja a spywaru.

Kyberzločinci používajú návnady na phishing na doručenie WikiLoader

Phishingové kampane spojené s WikiLoaderom sa točia okolo používania e-mailov obsahujúcich rôzne prílohy, ako sú súbory Microsoft Excel, Microsoft OneNote alebo PDF. Tieto prílohy fungujú ako návnady na nasadenie obsahu sťahovača, čo zase uľahčuje inštaláciu malvéru Ursnif.

Zaujímavým pozorovaním je, že WikiLoader, malvér zodpovedný za počiatočnú infekciu, sa zdá byť zdieľaný medzi viacerými skupinami kyberzločinu. Jedna takáto skupina, známa ako TA551 alebo Shathak, bola nedávno spozorovaná, ako používa WikiLoader vo svojich aktivitách koncom marca 2023.

V polovici júla 2023 ďalšie kampane, ktoré uskutočnil hroziaci aktér TA544, využívali prílohy PDF s účtovnou tematikou. Tieto prílohy obsahovali adresy URL, ktoré po kliknutí viedli k doručeniu archívneho súboru ZIP. V rámci tohto archívu je súbor JavaScript zodpovedný za stiahnutie a spustenie malvéru WikiLoader, čím sa spustí reťaz útokov.

WikiLoader využíva sofistikované únikové techniky

WikiLoader využíva robustné techniky zahmlievania a využíva vyhýbavé taktiky na obídenie softvéru zabezpečenia koncových bodov, čím zaisťuje, že sa vyhne detekcii počas automatizovaných analytických prostredí. Okrem toho je účelne navrhnutý tak, aby načítal a spúšťal užitočné zaťaženie shell kódu hosťované na Discorde, čo v konečnom dôsledku slúži ako spúšťací panel pre malvér Ursnif.

Ako uviedli odborníci, WikiLoader sa aktívne vyvíja a jeho tvorcovia pravidelne implementujú zmeny, aby udržali svoje tajné operácie neodhalené a pod radarom.

Je vysoko pravdepodobné, že WikiLoader si osvojí viac aktérov kriminálnych hrozieb, najmä tých, ktorí sú identifikovaní ako sprostredkovatelia počiatočného prístupu (IAB), známi tým, že sa zapájajú do aktivít, ktoré často vedú k útokom ransomvéru. Ochrancovia a tímy kybernetickej bezpečnosti musia byť ostražití a informovaní o tomto novom malvéri a zložitostiach spojených s doručovaním užitočného obsahu. Pri zmierňovaní jeho vplyvu je nevyhnutné prijať proaktívne opatrenia na ochranu svojich organizácií pred potenciálnym zneužívaním.