Κυβερνοεγκληματίες ενοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking trojan.
Ιταλικές οργανώσεις είναι στόχος μιας νέας επίθεσης phishing που εκμεταλλεύεται ένα νέο είδος κακόβουλου λογισμικού με το όνομα WikiLoader, με στόχο να εγκαταστήσει ένα banking trojan, έναν stealer και spyware με το όνομα Ursnif (επίσης γνωστό ως Gozi).
Το WikiLoader ονομάζεται έτσι λόγω του malware που υποβάλλει αίτημα στη Wikipedia και ελέγχει ότι η απάντηση έχει το string “The Free”.
Η εταιρεία ασφαλείας για επιχειρήσεις ανέφερε ότι ανιχνεύθηκε για πρώτη φορά το κακόβουλο λογισμικό στις 27 Δεκεμβρίου 2022, σε σχέση με μια εισβολή που πραγματοποιήθηκε από έναν δράστη που ονομάζεται TA544, επίσης γνωστός ως Bamboo Spider και Zeus Panda.
Οι καμπάνιες επικεντρώνονται στη χρήση ηλεκτρονικών μηνυμάτων που περιέχουν είτε τα Microsoft Excel, Microsoft OneNote είτε τα αρχεία PDF που λειτουργούν ως δέλεαρ για την εγκατάσταση του downloader, ο οποίος χρησιμοποιείται στη συνέχεια για την εγκατάσταση του Ursnif.
Σε ένδειξη ότι το WikiLoader κοινοποιείται ανάμεσα σε πολλές ομάδες κυβερνοεγκληματιών, ο απειλούμενος παράγοντας με το ψευδώνυμο TA551 (επίσης γνωστός ως Shathak) έχει παρατηρηθεί να χρησιμοποιεί το malware από τα τέλη Μαρτίου 2023.
Πρόσφατες επιθέσεις του απειλητικού παράγοντα TA544 που εντοπίστηκαν τον Ιούλιο του 2023, έχουν χρησιμοποιήσει θέματα λογιστικής για να διαδώσουν συνημμένα αρχεία PDF με URLs που, όταν κάνεις κλικ, οδηγούν στην παράδοση ενός αρχείου ZIP, το οποίο, αντίστοιχα, περιέχει ένα αρχείο JavaScript που σχεδιάστηκε για να κατεβάσει και να εκτελέσει το WikiLoader.
Το WikiLoader είναι ένα πολύ περίπλοκο πρόγραμμα, το οποίο κάνει ελιγμούς για να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας των τερματικών σημείων και να αποφεύγει την ενεργοποίηση σε αυτόματα περιβάλλοντα ανάλυσης. Επιπλέον, έχει σχεδιαστεί έτσι ώστε να ανακτά και να εκτελεί ένα φορτίο shellcode που φιλοξενείται στο Discord, το οποίο τελικά χρησιμοποιείται για να ξεκινήσει το Ursnif.
“Αυτή τη στιγμή βρίσκεται υπό ενεργό ανάπτυξη και οι συντάκτες του φαίνεται να κάνουν τακτικές αλλαγές για να προσπαθούν να παραμείνουν απαρατήρητοι”, δήλωσε η Selena Larson, ανώτερη αναλύτρια πληροφοριών απειλών στην Proofpoint.
“Είναι πιθανό ότι περισσότεροι εγκληματικοί παράγοντες θα το χρησιμοποιήσουν, ειδικά αυτοί που είναι γνωστοί ως initial access brokers (IABs) που διεξάγουν τακτική δραστηριότητα που οδηγεί σε ransomware. Οι defenders θα πρέπει να γνωρίζουν αυτό το νέο κακόβουλο λογισμικό και τις δραστηριότητες που εμπλέκονται στην παράδοση ωφέλιμου φορτίου και να λάβουν μέτρα για να προστατεύουν τις οργανώσεις τους από το exploitation».
Πηγή πληροφοριών: thehackernews.com
