Malware ng WikiLoader

Ang isang bagong phishing campaign ay nagta-target ng mga organisasyon sa Italy, na gumagamit ng bagong natuklasang strain ng malware na pinangalanang WikiLoader. Ang sopistikadong downloader na ito ay may pangunahing layunin ng pag-install ng pangalawang payload ng malware sa mga nakompromisong device. Upang maiwasan ang pagtuklas, gumagamit ang WikiLoader ng maraming mekanismo ng pag-iwas, na nagpapahiwatig na maaaring ito ay idinisenyo bilang isang malware-for-hire, na magagamit sa mga partikular na aktor ng cybercriminal threat. Ang pangalang 'WikiLoader' ay nagmula sa pag-uugali ng malware sa paggawa ng isang kahilingan sa Wikipedia at pag-verify kung ang tugon ay naglalaman ng string na 'Ang Libre.'

Ang unang pagkakita sa malware na ito sa wild ay naganap noong Disyembre 27, 2022, kaugnay ng isang intrusion set na pinamamahalaan ng isang threat actor na kilala bilang TA544, na kinilala rin bilang Bamboo Spider at Zeus Panda . Kapansin-pansin, ang huling kargamento sa mga impeksyon sa WikiLoader ay lumilitaw na Ursnif (Gozi). Ito ay isang kilalang banta ng malware na nilagyan ng banking Trojan, stealer at spyware na kakayahan.

Gumagamit ang mga Cybercriminal ng Phishing Lures para Maghatid ng WikiLoader

Ang mga kampanyang phishing na konektado sa WikiLoader ay umiikot sa paggamit ng mga email na naglalaman ng iba't ibang mga attachment tulad ng Microsoft Excel, Microsoft OneNote o mga PDF file. Ang mga attachment na ito ay nagsisilbing mga pang-akit upang i-deploy ang downloader payload, na, naman, ay nagpapadali sa pag-install ng Ursnif malware.

Ang isang kawili-wiling obserbasyon ay ang WikiLoader, ang malware na responsable para sa paunang impeksiyon, ay tila ibinabahagi sa maraming pangkat ng cybercrime. Ang isang ganoong grupo, na kilala bilang TA551 o Shathak, ay na-obserbahan kamakailan gamit ang WikiLoader sa mga aktibidad nito noong huling bahagi ng Marso 2023.

Noong kalagitnaan ng Hulyo 2023, gumamit ng mga PDF attachment na may temang accounting na PDF ang mga karagdagang kampanyang isinagawa ng aktor ng banta na si TA544. Ang mga attachment na ito ay naglalaman ng mga URL na, kapag na-click, ay humantong sa paghahatid ng isang ZIP archive file. Sa loob ng archive na ito, isang JavaScript file ang may pananagutan sa pag-download at pagpapatupad ng WikiLoader malware, na nagpasimula ng attack chain.

Ang WikiLoader ay Gumagamit ng Mga Sopistikadong Teknik sa Pag-iwas

Gumagamit ang WikiLoader ng mahusay na mga diskarte sa obfuscation at gumagamit ng mga nakakaiwas na taktika upang i-bypass ang endpoint security software, tinitiyak na maiiwasan nito ang pagtuklas sa panahon ng mga automated analysis na kapaligiran. Higit pa rito, sinadya itong idinisenyo upang kunin at isagawa ang isang shellcode payload na naka-host sa Discord, na sa huli ay nagsisilbing launchpad para sa Ursnif malware.

Tulad ng ipinahiwatig ng mga eksperto, ang WikiLoader ay aktibong binuo, at ang mga tagalikha nito ay regular na nagpapatupad ng mga pagbabago upang mapanatili ang kanilang mga palihim na operasyon na hindi natukoy at nasa ilalim ng radar.

Malaki ang posibilidad na mas maraming aktor ng banta sa kriminal ang magpapatibay ng WikiLoader, lalo na ang mga tinukoy bilang mga initial access broker (IAB), na kilala sa pagsali sa mga aktibidad na kadalasang humahantong sa pag-atake ng ransomware. Ang mga defender at cybersecurity team ay dapat maging alerto at alam ang tungkol sa bagong malware na ito at ang mga masalimuot na kasangkot sa paghahatid ng payload. Ang pagsasagawa ng mga proactive na hakbang upang pangalagaan ang kanilang mga organisasyon laban sa potensyal na pagsasamantala ay mahalaga sa pagpapagaan ng epekto nito.