Los expertos han descubierto un nuevo malware al que denominaron “WikiLoader”. Los expertos observaron por primera vez el nuevo malware cuando fue distribuido por TA544 (Threat Actor 544), un grupo de ciberdelincuentes que normalmente utiliza el malware Ursnif en sus ataques dirigidos a empresas principalmente en Italia. Como resultado, Proofpoint pudo observar otras campañas cibernéticas.
WikiLoader es un descargador sofisticado diseñado para instalar otra carga útil de malware. El malware recién descubierto incluye notables técnicas de ofuscación e implementaciones de código personalizado diseñadas para dificultar la detección y el análisis por parte de los científicos ciberforenses. Probablemente los desarrolladores ya hayan alquilado WikiLoader a ciberdelincuentes seleccionados.
Basándose en sus observaciones, Proofpoint cree que este malware también es utilizado por otros grupos de ciberdelincuentes, en particular aquellos que actúan como intermediarios de acceso inicial (IAB).
Campañas de ataque con WikiLoader
Los expertos de Proofpoint han descubierto al menos ocho campañas en las que se ha distribuido WikiLoader desde diciembre de 2022. Las campañas cibernéticas comenzaron con correos electrónicos que contenían archivos adjuntos de Microsoft Excel, archivos adjuntos de Microsoft OneNote o archivos adjuntos en PDF. WikiLoader no solo fue distribuido por TA544, sino también por al menos otro grupo, TA551. Ambos actores criminales centraron su atención en Italia. Si bien la mayoría de los ciberdelincuentes han dejado de utilizar documentos basados en macros como vehículo para difundir malware, TA544 continúa utilizándolos en sus cadenas de ataque, incluso para difundir WikiLoader.
Las campañas de WikiLoader más notables fueron observadas por los expertos de Proofpoint el 27 de diciembre de 2022, el 8 de febrero de 2023 y, más recientemente, el 11 de julio de 2023. WikiLoader se observó como una carga útil de seguimiento después de la instalación de Ursnif.
Archivos adjuntos de Excel, OneNote o PDF infectados
“WikiLoader es una nueva y sofisticada pieza de malware que ha aparecido recientemente en el panorama del cibercrimen y hasta ahora se ha asociado principalmente con las campañas de distribución de Ursnif. Actualmente se encuentra en desarrollo activo y sus autores parecen estar realizando cambios regulares para pasar desapercibidos y eludir las defensas comunes”, dijo Selena Larson, analista senior de inteligencia de amenazas en Proofpoint.
“Es lógico que otros grupos de ciberdelincuentes utilicen este malware en el futuro previsible, en particular los llamados agentes de acceso inicial (IAB). Estos suelen llamar la atención con actividades que sirven para difundir ransomware. Los líderes de ciberseguridad deberían familiarizarse con este nuevo malware y las últimas actividades relacionadas con su proliferación, y tomar medidas para proteger a sus organizaciones de la infección”.
Los expertos de Proofpoint han recopilado sus hallazgos sobre WikiLoader en una investigación técnica detallada y los han resumido en una publicación de blog en inglés.
Más en Proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.