Zlonamerna programska oprema WikiLoader

Nova kampanja lažnega predstavljanja cilja na organizacije v Italiji, pri čemer uporablja na novo odkrito različico zlonamerne programske opreme, imenovano WikiLoader. Glavni cilj tega prefinjenega prenosnika je namestiti drugo koristno količino zlonamerne programske opreme na ogrožene naprave. Da bi se izognil odkrivanju, WikiLoader uporablja več mehanizmov izogibanja, kar kaže, da je bil morda zasnovan kot zlonamerna programska oprema za najem, ki je na voljo določenim akterjem kibernetskih kriminalnih groženj. Ime 'WikiLoader' izhaja iz vedenja zlonamerne programske opreme, ko pošlje zahtevo Wikipediji in preveri, ali odgovor vsebuje niz 'The Free'.

Prvo opažanje te zlonamerne programske opreme v divjini se je zgodilo 27. decembra 2022 v povezavi s kompletom vdorov, ki ga je upravljal akter grožnje, znan kot TA544, identificiran tudi kot Bamboo Spider in Zeus Panda . Zdi se, da je končni tovor pri okužbah z WikiLoaderjem Ursnif (Gozi). To je razvpita grožnja zlonamerne programske opreme, opremljena z zmožnostmi bančnega trojana, kradljivca in vohunske programske opreme.

Kibernetski kriminalci uporabljajo vabe za lažno predstavljanje za dostavo WikiLoaderja

Kampanje lažnega predstavljanja, povezane z WikiLoaderjem, se vrtijo okoli uporabe e-poštnih sporočil, ki vsebujejo različne priloge, kot so Microsoft Excel, Microsoft OneNote ali datoteke PDF. Te priloge delujejo kot vabe za razporeditev koristnega tovora prenosnika, kar posledično olajša namestitev zlonamerne programske opreme Ursnif.

Zanimivo opažanje je, da se WikiLoader, zlonamerna programska oprema, ki je odgovorna za začetno okužbo, očitno deli med več skupinami kibernetskega kriminala. Ena taka skupina, znana kot TA551 ali Shathak, je bila nedavno opažena, da uporablja WikiLoader v svojih dejavnostih od konca marca 2023.

Sredi julija 2023 so nadaljnje kampanje, ki jih je izvajal akter grožnje TA544, uporabljale priloge PDF na temo računovodstva. Te priloge so vsebovale URL-je, ki so ob kliku vodili do dostave arhivske datoteke ZIP. Znotraj tega arhiva je datoteka JavaScript odgovorna za prenos in izvajanje zlonamerne programske opreme WikiLoader, ki sproži verigo napadov.

WikiLoader uporablja prefinjene tehnike izogibanja

WikiLoader uporablja robustne tehnike zamegljevanja in uporablja taktike izogibanja, da zaobide varnostno programsko opremo končne točke, s čimer zagotovi, da se izogne odkrivanju med okolji avtomatizirane analize. Poleg tega je namenoma zasnovan za pridobivanje in izvajanje koristne kode lupine, ki gostuje na Discordu, na koncu pa služi kot lansirna plošča za zlonamerno programsko opremo Ursnif.

Kot navajajo strokovnjaki, se WikiLoader aktivno razvija in njegovi ustvarjalci redno uvajajo spremembe, da ohranijo svoje tajne operacije neopažene in pod radarjem.

Zelo verjetno je, da bo več akterjev kriminalnih groženj sprejelo WikiLoader, zlasti tisti, ki so opredeljeni kot posredniki za začetni dostop (IAB), znani po dejavnostih, ki pogosto vodijo do napadov z izsiljevalsko programsko opremo. Zagovorniki in ekipe za kibernetsko varnost morajo biti pozorni in obveščeni o tej novi zlonamerni programski opremi in zapletenosti, ki je povezana z dostavo tovora. Sprejemanje proaktivnih ukrepov za zaščito njihovih organizacij pred morebitnim izkoriščanjem je bistvenega pomena za ublažitev njegovega vpliva.