Especialistas descobriram um novo malware, que apelidaram de “WikiLoader”. Os especialistas observaram pela primeira vez o novo malware quando ele foi distribuído pelo TA544 (Threat Actor 544), um grupo de cibercriminosos que normalmente usa o malware Ursnif em seus ataques para atingir empresas principalmente na Itália. Como resultado, a Proofpoint conseguiu observar outras campanhas cibernéticas.
WikiLoader é um downloader sofisticado projetado para instalar outra carga de malware. O malware recém-descoberto inclui técnicas notáveis de ofuscação e implementações de código personalizado projetadas para dificultar a detecção e análise por cientistas forenses cibernéticos. Os desenvolvedores provavelmente já alugam o WikiLoader para criminosos cibernéticos selecionados.
Com base nas suas observações, a Proofpoint acredita que este malware também é utilizado por outros grupos cibercriminosos, particularmente aqueles que atuam como corretores de acesso inicial (IABs).
Campanhas de ataque com WikiLoader
Os especialistas da Proofpoint descobriram pelo menos oito campanhas nas quais o WikiLoader foi distribuído desde dezembro de 2022. As campanhas cibernéticas começaram com e-mails contendo anexos do Microsoft Excel, anexos do Microsoft OneNote ou anexos PDF. O WikiLoader não foi distribuído apenas pelo TA544, mas também por pelo menos um outro grupo, o TA551. Ambos os atores criminosos concentraram a sua atenção na Itália. Embora a maioria dos cibercriminosos tenha deixado de usar documentos baseados em macros como veículo para espalhar malware, o TA544 continua a usá-los em suas cadeias de ataque, inclusive para espalhar o WikiLoader.
As campanhas mais notáveis do WikiLoader foram observadas por especialistas da Proofpoint em 27 de dezembro de 2022, 8 de fevereiro de 2023 e, muito recentemente, em 11 de julho de 2023. O WikiLoader foi observado como uma carga útil de acompanhamento após a instalação do Ursnif.
Anexos infectados do Excel, OneNote ou PDF
“O WikiLoader é um novo e sofisticado malware que apareceu apenas recentemente no cenário do crime cibernético e até agora tem sido associado principalmente às campanhas de distribuição do Ursnif. Atualmente, ele está em desenvolvimento ativo e seus autores parecem estar fazendo alterações regulares para permanecerem indetectados e contornarem as defesas comuns”, disse Selena Larson, Analista Sênior de Inteligência de Ameaças da Proofpoint.
“É lógico que outros grupos cibercriminosos utilizarão este malware num futuro próximo, em particular os chamados Initial Access Brokers (IABs). Eles regularmente chamam a atenção com atividades que servem para espalhar ransomware. Os líderes de segurança cibernética devem familiarizar-se com este novo malware e com as atividades mais recentes em torno da sua proliferação, e tomar medidas para proteger as suas organizações contra infeções.”
Os especialistas da Proofpoint compilaram suas descobertas sobre o WikiLoader em uma investigação técnica detalhada e as resumiram em uma postagem de blog em inglês.
Mais em Proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.