WikiLoader 恶意软件

一场新的网络钓鱼活动针对意大利的组织，利用了一种新发现的名为 WikiLoader 的恶意软件。这个复杂的下载程序的主要目标是在受感染的设备上安装第二个恶意软件有效负载。为了避免被发现，WikiLoader 采用了多种规避机制，这表明它可能被设计为雇佣恶意软件，可供特定的网络犯罪威胁参与者使用。 “WikiLoader”这个名称源自恶意软件向维基百科发出请求并验证响应是否包含字符串“The Free”的行为。

首次在野外发现该恶意软件发生在 2022 年 12 月 27 日，与由名为 TA544（也称为 Bamboo Spider 和Zeus Panda）的威胁行为者操作的入侵集有关。值得注意的是，WikiLoader 感染的最终有效负载似乎是Ursnif (Gozi)。这是一种臭名昭著的恶意软件威胁，具有银行木马、窃取者和间谍软件功能。

网络犯罪分子使用网络钓鱼诱饵来传送 WikiLoader

连接到 WikiLoader 的网络钓鱼活动围绕使用包含 Microsoft Excel、Microsoft OneNote 或 PDF 文件等各种附件的电子邮件进行。这些附件充当部署下载器有效负载的诱饵，从而促进 Ursnif 恶意软件的安装。

一个有趣的观察是，造成最初感染的恶意软件 WikiLoader 似乎是由多个网络犯罪组织共享的。截至 2023 年 3 月下旬，最近观察到一个名为 TA551 或 Shathak 的此类组织在其活动中使用 WikiLoader。

2023 年 7 月中旬，威胁行为者 TA544 开展的进一步活动使用了以会计为主题的 PDF 附件。这些附件包含 URL，单击这些 URL 即可传送 ZIP 存档文件。在此存档中，JavaScript 文件负责下载并执行 WikiLoader 恶意软件，从而启动攻击链。

WikiLoader 采用复杂的规避技术

WikiLoader 采用强大的混淆技术并采用规避策略来绕过端点安全软件，确保其在自动分析环境中避免检测。此外，它的设计目的是检索和执行 Discord 上托管的 shellcode 有效负载，最终充当 Ursnif 恶意软件的启动板。

据专家表示，WikiLoader 正在积极开发中，其创建者定期进行更改，以保持其秘密操作不被发现并处于雷达之下。

更多的犯罪威胁行为者很可能会采用 WikiLoader，特别是那些被认定为初始访问代理 (IAB) 的人，他们因从事经常导致勒索软件攻击的活动而闻名。防御者和网络安全团队必须保持警惕并了解这种新恶意软件以及有效负载传递中涉及的复杂性。采取积极主动的措施保护其组织免受潜在的利用对于减轻其影响至关重要。