WikiLoader Kötü Amaçlı Yazılımı

WikiLoader adlı yeni keşfedilen bir kötü amaçlı yazılım türünü kullanan yeni bir kimlik avı kampanyası, İtalya'daki kuruluşları hedefliyor. Bu gelişmiş indiricinin birincil amacı, güvenliği ihlal edilmiş cihazlara ikinci bir kötü amaçlı yazılım yükü yüklemektir. WikiLoader, tespit edilmekten kaçınmak için, belirli siber suçlu tehdit aktörlerinin kullanımına açık, kiralık bir kötü amaçlı yazılım olarak tasarlanmış olabileceğini gösteren birden fazla kaçırma mekanizması kullanır. 'WikiLoader' adı, kötü amaçlı yazılımın Wikipedia'ya istekte bulunma ve yanıtın 'The Free' dizesini içerip içermediğini doğrulama davranışından türetilmiştir.

Bu kötü amaçlı yazılımın ilk kez 27 Aralık 2022'de, TA544 olarak bilinen ve aynı zamanda Bamboo Spider ve Zeus Panda olarak da tanımlanan bir tehdit aktörü tarafından yönetilen bir izinsiz giriş seti ile bağlantılı olarak görüldüğü bildirildi. Özellikle, WikiLoader bulaşmalarındaki son yük Ursnif (Gozi) gibi görünüyor. Bu, bankacılık Truva Atı, hırsız ve casus yazılım yetenekleriyle donatılmış kötü şöhretli bir kötü amaçlı yazılım tehdididir.

Siber suçlular WikiLoader'ı Teslim Etmek İçin Kimlik Avı Yemlerini Kullanıyor

WikiLoader'a bağlı kimlik avı kampanyaları, Microsoft Excel, Microsoft OneNote veya PDF dosyaları gibi çeşitli ekler içeren e-postaların kullanımı etrafında döner. Bu ekler, indirici yükünü dağıtmak için yem görevi görür ve bu da, Ursnif kötü amaçlı yazılımının yüklenmesini kolaylaştırır.

İlginç bir gözlem, ilk bulaşmadan sorumlu kötü amaçlı yazılım olan WikiLoader'ın birden çok siber suç grubu arasında paylaşılmış gibi görünmesidir. TA551 veya Shathak olarak bilinen böyle bir grubun yakın zamanda Mart 2023'ün sonlarında faaliyetlerinde WikiLoader kullandığı gözlemlendi.

2023 Temmuz ayının ortalarında, tehdit aktörü TA544 tarafından gerçekleştirilen diğer kampanyalarda muhasebe temalı PDF ekleri kullanıldı. Bu ekler, tıklandığında bir ZIP arşiv dosyasının teslim edilmesini sağlayan URL'ler içeriyordu. Bu arşiv içinde, WikiLoader kötü amaçlı yazılımını indirip yürütmekten ve saldırı zincirini başlatmaktan bir JavaScript dosyası sorumludur.

WikiLoader, Sofistike Kaçınma Teknikleri Kullanıyor

WikiLoader, güçlü gizleme teknikleri kullanır ve uç nokta güvenlik yazılımını atlamak için kaçamak taktikler kullanır ve otomatik analiz ortamları sırasında tespit edilmesini önler. Ayrıca, Discord'da barındırılan bir kabuk kodu yükünü almak ve yürütmek için özel olarak tasarlanmıştır ve sonuç olarak Ursnif kötü amaçlı yazılımı için bir fırlatma rampası görevi görür.

Uzmanların belirttiği gibi, WikiLoader aktif olarak geliştirilmektedir ve yaratıcıları, gizli operasyonlarını fark edilmeden ve radar altında tutmak için düzenli olarak değişiklikler uygular.

Daha fazla suçlu tehdit aktörünün, özellikle de ilk erişim simsarları (IAB'ler) olarak tanımlanan ve genellikle fidye yazılımı saldırılarına yol açan faaliyetlerde bulunmalarıyla tanınanların WikiLoader'ı benimsemesi kuvvetle muhtemeldir. Savunucuların ve siber güvenlik ekiplerinin, bu yeni kötü amaçlı yazılım ve yük dağıtımındaki karmaşıklıklar konusunda uyanık ve bilgili olması gerekiyor. Kuruluşlarını potansiyel istismara karşı korumak için proaktif önlemler almak, bunun etkisini azaltmak açısından çok önemlidir.