Les experts ont découvert un nouveau logiciel malveillant, qu'ils ont surnommé « WikiLoader ». Les experts ont observé pour la première fois le nouveau malware lorsqu'il a été distribué par TA544 (Threat Actor 544), un groupe de cybercriminels qui utilisent généralement le malware Ursnif dans leurs attaques visant à cibler des entreprises principalement en Italie. En conséquence, Proofpoint a pu observer d’autres cyber-campagnes.
WikiLoader est un téléchargeur sophistiqué conçu pour installer une autre charge utile de malware. Le malware récemment découvert comprend des techniques d'obscurcissement remarquables et des implémentations de code personnalisé conçues pour rendre plus difficiles la détection et l'analyse par les cybercriminels. Les développeurs louent probablement déjà WikiLoader à des acteurs cybercriminels sélectionnés.
Sur la base de ses observations, Proofpoint estime que ce malware est également utilisé par d'autres groupes de cybercriminels, notamment ceux agissant en tant que courtiers d'accès initial (IAB).
Campagnes d'attaque avec WikiLoader
Les experts de Proofpoint ont découvert au moins huit campagnes dans lesquelles WikiLoader a été distribué depuis décembre 2022. Les cyber-campagnes ont commencé avec des e-mails contenant des pièces jointes Microsoft Excel, des pièces jointes Microsoft OneNote ou des pièces jointes PDF. WikiLoader a été distribué non seulement par TA544, mais également par au moins un autre groupe, TA551. Les deux acteurs criminels ont concentré leur attention sur l’Italie. Alors que la plupart des cybercriminels ont cessé d'utiliser des documents basés sur des macros comme moyen de propagation de logiciels malveillants, TA544 continue de les utiliser dans leurs chaînes d'attaque, notamment pour diffuser WikiLoader.
Les campagnes WikiLoader les plus remarquables ont été observées par les experts de Proofpoint le 27 décembre 2022, le 8 février 2023 et, tout récemment, le 11 juillet 2023. WikiLoader a été observé comme charge utile de suivi après l'installation d'Ursnif.
Pièces jointes Excel, OneNote ou PDF infectées
« WikiLoader est un nouveau logiciel malveillant sophistiqué qui n'est apparu que récemment dans le paysage de la cybercriminalité et qui jusqu'à présent a été principalement associé aux campagnes de distribution de l'Ursnif. Il est actuellement en développement actif et ses auteurs semblent apporter des modifications régulières pour rester non détectés et contourner les défenses communes », a déclaré Selena Larson, analyste principale des renseignements sur les menaces chez Proofpoint.
« Il va de soi que d’autres groupes de cybercriminels utiliseront ce malware dans un avenir proche, en particulier les soi-disant Initial Access Brokers (IAB). Ceux-ci attirent régulièrement l’attention avec des activités qui servent à propager des ransomwares. Les responsables de la cybersécurité devraient se familiariser avec ce nouveau malware et les dernières activités entourant sa prolifération, et prendre des mesures pour protéger leurs organisations contre les infections.
Les experts de Proofpoint ont compilé leurs conclusions sur WikiLoader dans une enquête technique détaillée et les ont résumées dans un article de blog en anglais.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.