Phần mềm độc hại WikiLoader
Một chiến dịch lừa đảo mới đang nhắm mục tiêu vào các tổ chức ở Ý, sử dụng một dòng phần mềm độc hại mới được phát hiện có tên WikiLoader. Trình tải xuống tinh vi này có mục tiêu chính là cài đặt phần mềm độc hại thứ hai trên các thiết bị bị xâm nhập. Để tránh bị phát hiện, WikiLoader sử dụng nhiều cơ chế trốn tránh, cho thấy rằng nó có thể đã được thiết kế dưới dạng phần mềm độc hại cho thuê, dành cho các tác nhân đe dọa tội phạm mạng cụ thể. Tên 'WikiLoader' bắt nguồn từ hành vi của phần mềm độc hại là đưa ra yêu cầu tới Wikipedia và xác minh xem phản hồi có chứa chuỗi 'The Free' hay không.
Lần đầu tiên nhìn thấy phần mềm độc hại này trong thực tế xảy ra vào ngày 27 tháng 12 năm 2022, liên quan đến một nhóm xâm nhập do tác nhân đe dọa có tên TA544, còn được xác định là Nhện tre và Gấu trúc Zeus điều hành. Đáng chú ý, tải trọng cuối cùng trong các vụ lây nhiễm WikiLoader dường như là Ursnif (Gozi). Đây là một mối đe dọa phần mềm độc hại khét tiếng được trang bị các khả năng của Trojan ngân hàng, kẻ đánh cắp và phần mềm gián điệp.
Tội phạm mạng sử dụng mồi nhử lừa đảo để cung cấp WikiLoader
Các chiến dịch lừa đảo kết nối với WikiLoader xoay quanh việc sử dụng các email chứa các tệp đính kèm khác nhau như tệp Microsoft Excel, Microsoft OneNote hoặc PDF. Các tệp đính kèm này hoạt động như mồi nhử để triển khai tải trọng của trình tải xuống, do đó, tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại Ursnif.
Một quan sát thú vị là WikiLoader, phần mềm độc hại gây ra sự lây nhiễm ban đầu, dường như được chia sẻ giữa nhiều nhóm tội phạm mạng. Một nhóm như vậy, được gọi là TA551 hoặc Shathak, gần đây đã được quan sát thấy sử dụng WikiLoader trong các hoạt động của mình kể từ cuối tháng 3 năm 2023.
Vào giữa tháng 7 năm 2023, các chiến dịch tiếp theo do kẻ đe dọa TA544 thực hiện đã sử dụng các tệp đính kèm PDF có chủ đề kế toán. Các tệp đính kèm này chứa các URL mà khi được nhấp vào sẽ dẫn đến việc gửi tệp lưu trữ ZIP. Trong kho lưu trữ này, một tệp JavaScript chịu trách nhiệm tải xuống và thực thi phần mềm độc hại WikiLoader, bắt đầu chuỗi tấn công.
WikiLoader sử dụng các kỹ thuật trốn tránh tinh vi
WikiLoader sử dụng các kỹ thuật che giấu mạnh mẽ và sử dụng các chiến thuật lảng tránh để vượt qua phần mềm bảo mật điểm cuối, đảm bảo phần mềm tránh bị phát hiện trong môi trường phân tích tự động. Hơn nữa, nó được thiết kế có mục đích để truy xuất và thực thi tải trọng mã shell được lưu trữ trên Discord, cuối cùng đóng vai trò là bệ phóng cho phần mềm độc hại Ursnif.
Như các chuyên gia đã chỉ ra, WikiLoader đang được tích cực phát triển và những người tạo ra nó thường xuyên thực hiện các thay đổi để duy trì các hoạt động bí mật của họ không bị phát hiện và nằm trong tầm ngắm.
Có khả năng cao là nhiều kẻ đe dọa tội phạm sẽ áp dụng WikiLoader, đặc biệt là những kẻ được xác định là nhà môi giới truy cập ban đầu (IAB), được biết đến với việc tham gia vào các hoạt động thường dẫn đến các cuộc tấn công bằng mã độc tống tiền. Các nhóm bảo vệ và an ninh mạng phải cảnh giác và được thông báo về phần mềm độc hại mới này cũng như những điều phức tạp liên quan đến việc phân phối tải trọng. Thực hiện các biện pháp chủ động để bảo vệ tổ chức của họ khỏi bị khai thác tiềm năng là điều cần thiết để giảm thiểu tác động của nó.
