Uzmanlar, "WikiLoader" adını verdikleri yeni bir kötü amaçlı yazılım parçasını ortaya çıkardılar. Uzmanlar, yeni kötü amaçlı yazılımı ilk kez, öncelikle İtalya'daki şirketleri hedef alan saldırılarında genellikle Ursnif kötü amaçlı yazılımını kullanan bir grup siber suçlu olan TA544 (Tehdit Aktörü 544) tarafından dağıtıldığında gözlemledi. Sonuç olarak Proofpoint daha fazla siber kampanyayı gözlemleyebildi.
WikiLoader, başka bir kötü amaçlı yazılım yükünü yüklemek için tasarlanmış gelişmiş bir indiricidir. Yeni keşfedilen kötü amaçlı yazılım, siber adli bilim adamlarının tespit ve analizini zorlaştırmak için tasarlanmış dikkat çekici gizleme teknikleri ve özel kod uygulamaları içeriyor. Geliştiriciler muhtemelen WikiLoader'ı seçilmiş siber suçlu aktörlere kiralamış durumda.
Proofpoint, gözlemlerine dayanarak, bu kötü amaçlı yazılımın, özellikle ilk erişim aracıları (IAB'ler) olarak görev yapan diğer siber suçlu grupları tarafından da kullanıldığına inanıyor.
WikiLoader ile saldırı kampanyaları
Kanıt noktası uzmanları, WikiLoader'ın Aralık 2022'den bu yana dağıtıldığı en az sekiz kampanyayı ortaya çıkardı. Siber kampanyalar, Microsoft Excel ekleri, Microsoft OneNote ekleri veya PDF ekleri içeren e-postalarla başladı. WikiLoader yalnızca TA544 tarafından dağıtılmadı, aynı zamanda en az bir başka grup olan TA551 tarafından da dağıtıldı. Her iki suç aktörü de dikkatlerini İtalya'ya odakladı. Çoğu siber suçlu, makro tabanlı belgeleri kötü amaçlı yazılım yayma aracı olarak kullanmaktan uzaklaşmış olsa da TA544, WikiLoader'ı yaymak da dahil olmak üzere saldırı zincirlerinde bunları kullanmaya devam ediyor.
En dikkate değer WikiLoader kampanyaları Proofpoint uzmanları tarafından 27 Aralık 2022, 8 Şubat 2023 ve çok yakın zamanda 11 Temmuz 2023'te gözlemlendi. WikiLoader, Ursnif'in kurulumundan sonra bir takip yükü olarak gözlemlendi.
Virüslü Excel, OneNote veya PDF ekleri
“WikiLoader, siber suç ortamında daha yeni ortaya çıkan ve şu ana kadar öncelikle Ursnif dağıtım kampanyalarıyla ilişkilendirilen yeni ve gelişmiş bir kötü amaçlı yazılım parçasıdır. Proofpoint Kıdemli Tehdit İstihbaratı Analisti Selena Larson, şu anda aktif olarak geliştirilme aşamasındadır ve yazarlarının tespit edilmemek ve ortak savunmaları atlatmak için düzenli değişiklikler yaptığı görülüyor.
“Diğer siber suçlu gruplarının, özellikle de İlk Erişim Aracıları (IAB'ler) olarak adlandırılanların, öngörülebilir gelecekte bu kötü amaçlı yazılımı kullanacakları anlaşılıyor. Bunlar düzenli olarak fidye yazılımlarının yayılmasına hizmet eden faaliyetlerle dikkatleri üzerine çekiyor. Siber güvenlik liderleri bu yeni kötü amaçlı yazılıma ve yayılmasına ilişkin en son faaliyetlere aşina olmalı ve kuruluşlarını enfeksiyondan korumak için adımlar atmalıdır."
Proofpoint uzmanları ayrıntılı, teknik bir araştırmayla WikiLoader hakkındaki bulgularını derlediler ve bunları İngilizce bir blog yazısında özetlediler.
Daha fazlası Proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.