Neue Malware WikiLoader zielt auf Unternehmen

B2B Cyber Security ShortNews

Beitrag teilen

Experten haben eine neue Malware enttarnt, die sie “WikiLoader” getauft haben. Erstmals beobachten konnten die Experten die neue Malware, als sie von TA544 (Threat Actor 544) verbreitet wurde, einer Gruppe Cyberkrimineller, die normalerweise Ursnif-Malware in ihren Attacken verwendet, um Unternehmen vornehmlich in Italien anzugreifen. In der Folge konnte Proofpoint weitere Cyberkampagnen beobachten.

Bei WikiLoader handelt es sich um ein ausgeklügelten Downloader, der dazu dient, eine weitere Malware-Payload zu installieren. Die neuentdeckte Malware umfasst bemerkenswerte Verschleierungstechniken und benutzerdefinierte Code-Implementierungen, die eine Erkennung und Analyse durch Cyberforensiker erschweren sollen. Die Entwickler vermieten WikiLoader vermutlich bereits auch an ausgewählte cyberkriminelle Akteure.

Anzeige

Aufgrund seiner Beobachtungen geht Proofpoint davon aus, dass diese Malware auch von anderen cyberkriminellen Gruppen genutzt wird, insbesondere von solchen, die als Initial Access Broker (IABs) agieren.

Angriffs-Kampagnen mit WikiLoader

Die Proofpoint-Experten haben mindestens acht Kampagnen aufgedeckt, bei denen WikiLoader seit Dezember 2022 verbreitet wurde. Die Cyberkampagnen nahmen ihren Ausgang mit E-Mails, die entweder Microsoft-Excel-Anhänge, Microsoft-OneNote-Anhänge oder PDF-Anhänge enthielten. Dabei wurde WikiLoader nicht nur von TA544 verbreitet, sondern noch von mindestens einer weiteren Gruppe, TA551. Beide kriminellen Akteure richteten ihr Hauptaugenmerk auf Italien. Während die meisten Cyberkriminellen von makrobasierten Dokumenten als Vehikel für die Verbreitung von Malware Abstand genommen haben, nutzt TA544 diese weiterhin in ihren Angriffsketten, auch um WikiLoader zu verbreiten.

Die bemerkenswertesten WikiLoader-Kampagnen konnten die Proofpoint-Experten am 27. Dezember 2022, am 8. Februar 2023 und recht neu am 11. Juli 2023 beobachten. Dabei wurde WikiLoader nach der Installation von Ursnif als Folge-Payload beobachtet.

Verseuchte Excel-, OneNote- oder PDF-Anhänge

„WikiLoader ist eine ausgeklügelte neue Malware, die erst kürzlich in der Cybercrime-Landschaft aufgetaucht ist und bisher vor allem mit Kampagnen zur Verbreitung von Ursnif in Verbindung steht. Sie wird derzeit aktiv weiterentwickelt, und ihre Autoren scheinen regelmäßig Änderungen vorzunehmen, um weiterhin unerkannt zu bleiben und gängige Abwehrmaßnahmen zu umgehen“, erklärt Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint.

„Es ist naheliegend, dass in absehbarer Zeit weitere cyberkriminelle Gruppen diese Malware nutzen werden, insbesondere die sogenannten Initial Access Broker (IABs). Diese machen regelmäßig mit Aktivitäten auf sich aufmerksam, die der Verbreitung von Ransomware dienen. Cybersecurity-Verantwortliche sollten sich mit dieser neuen Malware und den neuesten Aktivitäten rund um deren Verbreitung vertraut machen und Maßnahmen ergreifen, um ihre Organisationen vor einer Infektion zu schützen.“

Die Proofpoint-Experten haben ihre Erkenntnisse rund um WikiLoader in einer detaillierten, technischen Untersuchung zusammengestellt und in einem englisch sprachigen Blog-Beitrag zusammengefasst.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen