専門家は「WikiLoader」と名付けた新たなマルウェアを発見しました。 専門家がこの新しいマルウェアを初めて観察したのは、主にイタリアの企業を標的とする攻撃で通常 Ursnif マルウェアを使用するサイバー犯罪者グループ TA544 (Threat Actor 544) によって配布されたときでした。 その結果、プルーフポイントはさらなるサイバー攻撃を観察することができました。
WikiLoader は、別のマルウェア ペイロードをインストールするように設計された高度なダウンローダーです。 新たに発見されたマルウェアには、サイバーフォレンジック科学者による検出と分析をより困難にするために設計された、注目すべき難読化技術とカスタムコード実装が含まれています。 開発者はおそらく、すでに選ばれたサイバー犯罪者に WikiLoader をレンタルしているでしょう。
観察に基づいて、プルーフポイントは、このマルウェアが他のサイバー犯罪グループ、特に初期アクセス ブローカー (IAB) として機能するグループによっても使用されていると考えています。
WikiLoader を使用してキャンペーンを攻撃する
Proofpoint の専門家は、2022 年 544 月以降に WikiLoader が配布された少なくとも 551 つのキャンペーンを発見しました。 サイバー キャンペーンは、Microsoft Excel の添付ファイル、Microsoft OneNote の添付ファイル、または PDF の添付ファイルを含む電子メールから始まりました。 WikiLoader は TA544 によって配布されただけでなく、少なくとも XNUMX つの他のグループである TAXNUMX によって配布されました。 両方の犯罪者はイタリアに注目しました。 ほとんどのサイバー犯罪者はマルウェアを拡散する手段としてマクロベースのドキュメントを使用することから離れていますが、TAXNUMX は WikiLoader の拡散を含め、攻撃チェーンでマクロベースのドキュメントを使用し続けています。
最も注目すべき WikiLoader キャンペーンは、27 年 2022 月 8 日、2023 年 11 月 2023 日、そしてごく最近では XNUMX 年 XNUMX 月 XNUMX 日に Proofpoint の専門家によって観察されました。 WikiLoader は、Ursnif のインストール後のフォローアップ ペイロードとして観察されました。
感染した Excel、OneNote、または PDF の添付ファイル
「WikiLoader は洗練された新しいマルウェアで、最近になってサイバー犯罪界に出現し、これまでのところ主に Ursnif 配布キャンペーンに関連しています。 現在活発に開発が進められており、作成者は検出されずに一般的な防御を回避するために定期的に変更を加えているようです」と Proofpoint の上級脅威インテリジェンス アナリストである Selena Larson 氏は述べています。
「予見可能な将来、他のサイバー犯罪グループ、特にいわゆる初期アクセス ブローカー (IAB) がこのマルウェアを使用することは当然です。 これらは、ランサムウェアを拡散させる活動を行って定期的に注目を集めています。 サイバーセキュリティのリーダーは、この新しいマルウェアとその拡散を巡る最新の活動についてよく理解し、組織を感染から守るための措置を講じるべきです。」
Proofpoint の専門家は、詳細な技術調査で WikiLoader に関する調査結果をまとめ、英語のブログ投稿にまとめました。
詳細は Proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。