WikiLoader 惡意軟件

一場新的網絡釣魚活動針對意大利的組織，利用了一種新發現的名為 WikiLoader 的惡意軟件。這個複雜的下載程序的主要目標是在受感染的設備上安裝第二個惡意軟件有效負載。為了避免被發現，WikiLoader 採用了多種規避機制，這表明它可能被設計為僱傭惡意軟件，可供特定的網絡犯罪威脅參與者使用。 “WikiLoader”這個名稱源自惡意軟件向維基百科發出請求並驗證響應是否包含字符串“The Free”的行為。

首次在野外發現該惡意軟件發生在 2022 年 12 月 27 日，與由名為 TA544（也稱為 Bamboo Spider 和Zeus Panda）的威脅行為者操作的入侵集有關。值得注意的是，WikiLoader 感染的最終有效負載似乎是Ursnif (Gozi)。這是一種臭名昭著的惡意軟件威脅，具有銀行木馬、竊取者和間諜軟件功能。

網絡犯罪分子使用網絡釣魚誘餌來傳送 WikiLoader

連接到 WikiLoader 的網絡釣魚活動圍繞使用包含 Microsoft Excel、Microsoft OneNote 或 PDF 文件等各種附件的電子郵件進行。這些附件充當部署下載器有效負載的誘餌，從而促進 Ursnif 惡意軟件的安裝。

一個有趣的觀察是，造成最初感染的惡意軟件 WikiLoader 似乎是由多個網絡犯罪組織共享的。截至 2023 年 3 月下旬，最近觀察到一個名為 TA551 或 Shathak 的此類組織在其活動中使用 WikiLoader。

2023 年 7 月中旬，威脅行為者 TA544 開展的進一步活動使用了以會計為主題的 PDF 附件。這些附件包含 URL，單擊這些 URL 即可傳送 ZIP 存檔文件。在此存檔中，JavaScript 文件負責下載並執行 WikiLoader 惡意軟件，從而啟動攻擊鏈。

WikiLoader 採用複雜的規避技術

WikiLoader 採用強大的混淆技術並採用規避策略來繞過端點安全軟件，確保其在自動分析環境中避免檢測。此外，它的設計目的是檢索和執行 Discord 上託管的 shellcode 有效負載，最終充當 Ursnif 惡意軟件的啟動板。

據專家表示，WikiLoader 正在積極開發中，其創建者定期進行更改，以保持其秘密操作不被發現並處於雷達之下。

更多的犯罪威脅行為者很可能會採用 WikiLoader，特別是那些被認定為初始訪問代理 (IAB) 的人，他們因從事經常導致勒索軟件攻擊的活動而聞名。防御者和網絡安全團隊必須保持警惕並了解這種新惡意軟件以及有效負載傳遞中涉及的複雜性。採取積極主動的措施保護其組織免受潛在的利用對於減輕其影響至關重要。