ВикиЛоадер Малваре

Нова пхисхинг кампања циља на организације у Италији, користећи новооткривену врсту малвера под називом ВикиЛоадер. Овај софистицирани програм за преузимање има примарни циљ да инсталира други корисни софтвер на компромитоване уређаје. Да би избегао откривање, ВикиЛоадер користи више механизама за избегавање, што указује на то да је можда дизајниран као малвер за изнајмљивање, доступан одређеним актерима сајбер-криминалних претњи. Назив „ВикиЛоадер“ је изведен из понашања малвера приликом слања захтева Википедији и провере да ли одговор садржи стринг „Тхе Фрее“.

Прво уочавање овог злонамерног софтвера у дивљини догодило се 27. децембра 2022. године, у вези са скупом за упад којим је управљао актер претње познат као ТА544, такође идентификован као Бамбусов паук и Зеус Панда . Нарочито, чини се да је коначни терет у инфекцијама ВикиЛоадер-а Урсниф (Гози). Ово је озлоглашена претња злонамерног софтвера опремљена банкарским тројанцима, могућностима крадљиваца и шпијунског софтвера.

Сајбер-криминалци користе мамце за пхисхинг да испоруче ВикиЛоадер

Кампање за пхисхинг повезане са ВикиЛоадером се врте око коришћења е-порука које садрже различите прилоге као што су Мицрософт Екцел, Мицрософт ОнеНоте или ПДФ датотеке. Ови прилози делују као мамац за распоређивање корисног оптерећења програма за преузимање, што заузврат олакшава инсталацију Урсниф малвера.

Занимљиво запажање је да ВикиЛоадер, малвер одговоран за почетну инфекцију, изгледа да се дели међу више група за сајбер криминал. Једна таква група, позната као ТА551 или Схатхак, недавно је примећена како користи ВикиЛоадер у својим активностима од краја марта 2023.

Средином јула 2023., даље кампање које је спроводио актер претње ТА544 користиле су ПДФ прилоге са рачуноводственом тематиком. Ови прилози су садржали УРЛ-ове који су, када су кликнули, довели до испоруке ЗИП архивске датотеке. У оквиру ове архиве, ЈаваСцрипт датотека је одговорна за преузимање и извршавање малвера ВикиЛоадер, иницирајући ланац напада.

ВикиЛоадер користи софистициране технике избегавања

ВикиЛоадер користи робусне технике замагљивања и користи тактику избегавања да заобиђе безбедносни софтвер крајњих тачака, обезбеђујући да избегне откривање током окружења аутоматизоване анализе. Штавише, наменски је дизајниран за преузимање и извршавање корисног оптерећења схеллцоде-а хостованог на Дисцорд-у, који на крају служи као лансирна табла за Урсниф малвер.

Као што указују стручњаци, ВикиЛоадер се активно развија, а његови креатори редовно спроводе промене како би своје тајне операције одржале неоткривене и испод радара.

Велика је вероватноћа да ће више актера криминалних претњи усвојити ВикиЛоадер, посебно они који су идентификовани као брокери за почетни приступ (ИАБ), познати по ангажовању у активностима које често доводе до напада рансомвера. Браниоци и тимови за сајбер безбедност морају бити упозорени и обавештени о овом новом малверу и замршеностима које су укључене у испоруку терета. Предузимање проактивних мера за заштиту њихових организација од потенцијалне експлоатације је од суштинског значаја за ублажавање њеног утицаја.