Шкідливе програмне забезпечення WikiLoader

Нова фішингова кампанія націлена на організації в Італії, використовуючи нещодавно виявлений штам шкідливого програмного забезпечення під назвою WikiLoader. Головною метою цього складного завантажувача є інсталяція другого шкідливого програмного забезпечення на скомпрометовані пристрої. Щоб уникнути виявлення, WikiLoader використовує численні механізми ухилення, що вказує на те, що він міг бути розроблений як зловмисне програмне забезпечення за наймом, доступне конкретним кіберзлочинцям. Назва «WikiLoader» походить від поведінки зловмисного програмного забезпечення, яке робить запит до Вікіпедії та перевіряє, чи містить відповідь рядок «The Free».

Перше виявлення цього зловмисного програмного забезпечення в природі відбулося 27 грудня 2022 року у зв’язку з набором вторгнень, яким керував загрозливий актор, відомий як TA544, також ідентифікований як Bamboo Spider і Zeus Panda . Примітно, що останнім корисним навантаженням у зараженнях WikiLoader є Ursnif (Gozi). Це горезвісна загроза зловмисного програмного забезпечення, оснащеного банківськими троянами, крадіжками та шпигунськими можливостями.

Кіберзлочинці використовують фішингові приманки для доставки WikiLoader

Фішингові кампанії, пов’язані з WikiLoader, обертаються навколо використання електронних листів із різноманітними вкладеннями, як-от файли Microsoft Excel, Microsoft OneNote або PDF. Ці вкладення діють як приманки для розгортання корисного навантаження завантажувача, що, у свою чергу, полегшує встановлення шкідливого програмного забезпечення Ursnif.

Цікаве спостереження полягає в тому, що WikiLoader, зловмисне програмне забезпечення, відповідальне за початкове зараження, схоже, використовується між кількома групами кіберзлочинців. Одну з таких груп, відому як TA551 або Shathak, нещодавно спостерігали за використанням WikiLoader у своїй діяльності станом на кінець березня 2023 року.

У середині липня 2023 року інші кампанії, проведені загрозою TA544, використовували PDF-додатки на тему бухгалтерського обліку. Ці вкладення містили URL-адреси, натискання яких призводило до доставки архівного файлу ZIP. У цьому архіві файл JavaScript відповідає за завантаження та виконання шкідливого програмного забезпечення WikiLoader, ініціюючи ланцюг атак.

WikiLoader використовує складні методи ухилення

WikiLoader використовує надійні методи обфускації та використовує тактику ухилення, щоб обійти програмне забезпечення безпеки кінцевої точки, гарантуючи, що воно не буде виявлено під час автоматизованих середовищ аналізу. Крім того, він цілеспрямовано розроблений для отримання та виконання корисного навантаження шелл-коду, розміщеного на Discord, що зрештою слугує стартовим майданчиком для зловмисного програмного забезпечення Ursnif.

Як зазначають експерти, WikiLoader активно розвивається, і його творці регулярно вносять зміни, щоб їхні таємні операції залишалися непоміченими та невидимими.

Цілком імовірно, що WikiLoader приймуть більше злочинців, особливо тих, хто визначений як брокери початкового доступу (IAB), відомі своєю діяльністю, яка часто призводить до атак програм-вимагачів. Захисники та групи кібербезпеки повинні бути напоготові та поінформовані про це нове зловмисне програмне забезпечення та тонкощі, пов’язані з доставкою корисного навантаження. Вжиття профілактичних заходів для захисту їхніх організацій від потенційної експлуатації має важливе значення для пом’якшення її впливу.