WikiLoader skadlig programvara

En ny nätfiskekampanj riktar sig till organisationer i Italien, med hjälp av en nyupptäckt skadlig stam som heter WikiLoader. Den här sofistikerade nedladdaren har som primärt mål att installera en andra nyttolast av skadlig programvara på komprometterade enheter. För att undvika upptäckt använder WikiLoader flera undanflyktsmekanismer, vilket indikerar att det kan ha utformats som en malware-for-hire, tillgänglig för specifika cyberkriminella hotaktörer. Namnet "WikiLoader" kommer från skadlig programvaras beteende att göra en begäran till Wikipedia och verifiera om svaret innehåller strängen "The Free".

Den första iakttagelsen av denna skadliga programvara i naturen inträffade den 27 december 2022, i samband med en intrångsuppsättning som drivs av en hotaktör känd som TA544, även identifierad som Bamboo Spider och Zeus Panda . Noterbart är att den slutliga nyttolasten i WikiLoader-infektioner verkar vara Ursnif (Gozi). Detta är ett ökänt skadligt hot utrustat med banktrojaner, stjälare och spionprogram.

Cyberbrottslingar använder nätfiske för att leverera WikiLoader

Nätfiskekampanjerna kopplade till WikiLoader kretsar kring användningen av e-postmeddelanden som innehåller olika bilagor som Microsoft Excel, Microsoft OneNote eller PDF-filer. Dessa bilagor fungerar som lockelser för att distribuera nedladdarens nyttolast, vilket i sin tur underlättar installationen av Ursnifs skadliga program.

En intressant observation är att WikiLoader, den skadliga programvaran som är ansvarig för den initiala infektionen, verkar delas mellan flera cyberbrottsgrupper. En sådan grupp, känd som TA551 eller Shathak, har nyligen observerats använda WikiLoader i sin verksamhet i slutet av mars 2023.

I mitten av juli 2023 använde ytterligare kampanjer som genomfördes av hotaktören TA544 PDF-bilagor med redovisningstema. Dessa bilagor innehöll webbadresser som, när de klickades, ledde till leveransen av en ZIP-arkivfil. Inom det här arkivet är en JavaScript-fil ansvarig för att ladda ner och köra WikiLoader skadliga program, vilket initierar attackkedjan.

WikiLoader använder sofistikerade undanflyktstekniker

WikiLoader använder robusta fördunklingstekniker och använder undvikande taktik för att kringgå mjukvara för slutpunktssäkerhet, vilket säkerställer att den undviker upptäckt under automatiserade analysmiljöer. Dessutom är den målmedvetet utformad för att hämta och exekvera en shellcode-nyttolast som finns på Discord, vilket slutligen fungerar som en startplatta för Ursnif-skadlig programvara.

Som indikerat av experter utvecklas WikiLoader aktivt, och dess skapare genomför regelbundet förändringar för att upprätthålla sina hemliga operationer oupptäckta och under radarn.

Det är mycket troligt att fler kriminella hotaktörer kommer att ta till sig WikiLoader, särskilt de som identifieras som initial access brokers (IAB), kända för att engagera sig i aktiviteter som ofta leder till ransomware-attacker. Försvarare och cybersäkerhetsteam måste vara uppmärksamma och informerade om denna nya skadliga programvara och de krångligheter som är involverade i leverans av nyttolast. Att vidta proaktiva åtgärder för att skydda sina organisationer mot potentiellt utnyttjande är avgörande för att mildra dess påverkan.