WikiLoader มัลแวร์

แคมเปญฟิชชิ่งใหม่กำหนดเป้าหมายองค์กรในอิตาลี โดยใช้มัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า WikiLoader เครื่องมือดาวน์โหลดที่ซับซ้อนนี้มีวัตถุประสงค์หลักในการติดตั้งเพย์โหลดมัลแวร์ตัวที่สองบนอุปกรณ์ที่ถูกบุกรุก เพื่อหลีกเลี่ยงการตรวจจับ WikiLoader ใช้กลไกการหลบเลี่ยงหลายตัว ซึ่งบ่งชี้ว่าอาจได้รับการออกแบบเป็นมัลแวร์เพื่อการจ้าง ซึ่งพร้อมใช้งานสำหรับผู้คุกคามอาชญากรไซเบอร์โดยเฉพาะ ชื่อ 'WikiLoader' มาจากพฤติกรรมของมัลแวร์ในการส่งคำขอไปยัง Wikipedia และตรวจสอบว่าการตอบกลับมีสตริง 'The Free' หรือไม่

การพบเห็นมัลแวร์นี้ครั้งแรกในธรรมชาติเกิดขึ้นเมื่อวันที่ 27 ธันวาคม 2565 โดยเกี่ยวข้องกับชุดการบุกรุกที่ดำเนินการโดยผู้คุกคามที่รู้จักกันในชื่อ TA544 หรือที่เรียกว่า Bamboo Spider และ Zeus Panda โดยเฉพาะอย่างยิ่ง เพย์โหลดสุดท้ายในการติดเชื้อ WikiLoader ดูเหมือนจะเป็น Ursnif (Gozi) นี่เป็นภัยคุกคามจากมัลแวร์ที่โด่งดังซึ่งมาพร้อมกับความสามารถด้านโทรจันธนาคาร ตัวขโมยข้อมูล และสปายแวร์

อาชญากรไซเบอร์ใช้ฟิชชิ่งล่อเพื่อส่ง WikiLoader

แคมเปญฟิชชิงที่เชื่อมต่อกับ WikiLoader เกี่ยวข้องกับการใช้อีเมลที่มีไฟล์แนบต่างๆ เช่น Microsoft Excel, Microsoft OneNote หรือไฟล์ PDF ไฟล์แนบเหล่านี้ทำหน้าที่เป็นตัวล่อเพื่อปรับใช้เพย์โหลดของตัวดาวน์โหลด ซึ่งในทางกลับกัน อำนวยความสะดวกในการติดตั้งมัลแวร์ Ursnif

ข้อสังเกตที่น่าสนใจคือ WikiLoader ซึ่งเป็นมัลแวร์ที่รับผิดชอบการติดไวรัสครั้งแรก ดูเหมือนว่าจะถูกแชร์ในกลุ่มอาชญากรไซเบอร์หลายกลุ่ม กลุ่มดังกล่าวซึ่งรู้จักกันในชื่อ TA551 หรือ Shathak เพิ่งถูกสังเกตว่าใช้ WikiLoader ในกิจกรรม ณ ปลายเดือนมีนาคม 2023

ในช่วงกลางเดือนกรกฎาคม 2023 แคมเปญเพิ่มเติมที่ดำเนินการโดยผู้คุกคาม TA544 ใช้ไฟล์แนบ PDF ธีมบัญชี ไฟล์แนบเหล่านี้มี URL ที่เมื่อคลิกแล้วจะนำไปสู่การส่งไฟล์ ZIP ภายในไฟล์เก็บถาวรนี้ ไฟล์ JavaScript มีหน้าที่รับผิดชอบในการดาวน์โหลดและเรียกใช้มัลแวร์ WikiLoader เพื่อเริ่มต้นการโจมตีแบบต่อเนื่อง

WikiLoader ใช้เทคนิคการหลบเลี่ยงที่ซับซ้อน

WikiLoader ใช้เทคนิคการทำให้งงงวยที่มีประสิทธิภาพและใช้กลยุทธ์การหลีกเลี่ยงเพื่อหลีกเลี่ยงซอฟต์แวร์รักษาความปลอดภัยปลายทาง ทำให้มั่นใจได้ว่าจะหลีกเลี่ยงการตรวจจับระหว่างสภาพแวดล้อมการวิเคราะห์อัตโนมัติ ยิ่งไปกว่านั้น มันถูกออกแบบมาเพื่อดึงข้อมูลและรันเพย์โหลดของเชลล์โค้ดที่โฮสต์บน Discord ซึ่งทำหน้าที่เป็น Launchpad สำหรับมัลแวร์ Ursnif ในท้ายที่สุด

ตามที่ผู้เชี่ยวชาญระบุ WikiLoader กำลังได้รับการพัฒนาอย่างแข็งขัน และผู้สร้างมักจะใช้การเปลี่ยนแปลงเพื่อรักษาปฏิบัติการลับของพวกเขาให้ไม่ถูกตรวจจับและอยู่ภายใต้เรดาร์

มีความเป็นไปได้สูงที่ผู้ก่อภัยคุกคามอาชญากรจะใช้ WikiLoader มากขึ้น โดยเฉพาะอย่างยิ่งผู้ที่ระบุว่าเป็นนายหน้าการเข้าถึงเบื้องต้น (IAB) ซึ่งรู้จักกันดีว่ามีส่วนร่วมในกิจกรรมที่มักนำไปสู่การโจมตีแรนซัมแวร์ ผู้พิทักษ์และทีมรักษาความปลอดภัยในโลกไซเบอร์ต้องตื่นตัวและแจ้งให้ทราบเกี่ยวกับมัลแวร์ใหม่นี้และความซับซ้อนที่เกี่ยวข้องกับการส่งมอบเพย์โหลด การใช้มาตรการเชิงรุกเพื่อปกป้ององค์กรของตนจากการแสวงหาประโยชน์ที่อาจเกิดขึ้นเป็นสิ่งสำคัญในการบรรเทาผลกระทบ