Malware WikiLoader

Një fushatë e re phishing po synon organizatat në Itali, duke përdorur një lloj malware të sapo zbuluar të quajtur WikiLoader. Ky shkarkues i sofistikuar ka një objektiv kryesor instalimin e një ngarkese të dytë të malware në pajisjet e komprometuara. Për të shmangur zbulimin, WikiLoader përdor mekanizma të shumëfishtë evazioni, duke treguar se mund të jetë projektuar si një malware-për-marrje me qira, i disponueshëm për aktorë të veçantë të kërcënimeve kriminale kibernetike. Emri 'WikiLoader' rrjedh nga sjellja e malware për të bërë një kërkesë në Wikipedia dhe për të verifikuar nëse përgjigja përmban vargun 'The Falas'.

Shikimi i parë i këtij malware në natyrë ndodhi më 27 dhjetor 2022, në lidhje me një grup ndërhyrjesh të operuar nga një aktor kërcënimi i njohur si TA544, i identifikuar gjithashtu si Bamboo Spider dhe Zeus Panda . Veçanërisht, ngarkesa përfundimtare në infeksionet e WikiLoader duket të jetë Ursnif (Gozi). Ky është një kërcënim famëkeq malware i pajisur me aftësi bankare Trojan, vjedhës dhe spyware.

Kriminelët kibernetikë përdorin joshjet e phishing për të ofruar WikiLoader

Fushatat e phishing të lidhura me WikiLoader rrotullohen rreth përdorimit të emaileve që përmbajnë bashkëngjitje të ndryshme si Microsoft Excel, Microsoft OneNote ose skedarë PDF. Këto bashkëngjitje veprojnë si joshje për të vendosur ngarkesën e shkarkimit, e cila, nga ana tjetër, lehtëson instalimin e malware Ursnif.

Një vëzhgim interesant është se WikiLoader, malware përgjegjës për infeksionin fillestar, duket se ndahet midis grupeve të shumta të krimit kibernetik. Një grup i tillë, i njohur si TA551 ose Shathak, është vëzhguar së fundmi duke përdorur WikiLoader në aktivitetet e tij që nga fundi i marsit 2023.

Në mesin e korrikut 2023, fushatat e mëtejshme të kryera nga aktori i kërcënimit TA544 përdorën bashkëngjitje PDF me temë kontabiliteti. Këto bashkëngjitje përmbanin URL që, kur klikoheshin, çuan në dorëzimin e një skedari arkivi ZIP. Brenda këtij arkivi, një skedar JavaScript është përgjegjës për shkarkimin dhe ekzekutimin e malware WikiLoader, duke inicuar zinxhirin e sulmit.

WikiLoader përdor teknika të sofistikuara evazioni

WikiLoader përdor teknika të fuqishme mjegullimi dhe përdor taktika evazive për të anashkaluar softuerin e sigurisë së pikës fundore, duke siguruar që ai shmang zbulimin gjatë mjediseve të automatizuara të analizës. Për më tepër, ai është projektuar me qëllim për të tërhequr dhe ekzekutuar një ngarkesë të kodit të shell-it të vendosur në Discord, duke shërbyer në fund si një platformë lëshimi për malware-in Ursnif.

Siç tregohet nga ekspertët, WikiLoader është duke u zhvilluar në mënyrë aktive dhe krijuesit e tij zbatojnë rregullisht ndryshime për të mbajtur operacionet e tyre të fshehta të pazbuluara dhe nën radar.

Ka shumë të ngjarë që më shumë aktorë të kërcënimeve kriminale të miratojnë WikiLoader, veçanërisht ata të identifikuar si ndërmjetës të aksesit fillestar (IAB), të njohur për përfshirjen në aktivitete që shpesh çojnë në sulme ransomware. Mbrojtësit dhe ekipet e sigurisë kibernetike duhet të jenë vigjilente dhe të informuar për këtë malware të ri dhe ndërlikimet e përfshira në shpërndarjen e ngarkesës. Marrja e masave proaktive për të mbrojtur organizatat e tyre kundër shfrytëzimit të mundshëm është thelbësore në zbutjen e ndikimit të tij.