Фахівці виявили нову шкідливу програму, яку назвали WikiLoader. Експерти вперше помітили нове зловмисне програмне забезпечення, коли воно поширювалося TA544 (Threat Actor 544), групою кіберзлочинців, які зазвичай використовують зловмисне програмне забезпечення Ursnif у своїх атаках, спрямованих переважно на компанії в Італії. У результаті Proofpoint змогла спостерігати подальші кіберкампанії.
WikiLoader — це складний завантажувач, розроблений для встановлення іншого шкідливого програмного забезпечення. Нещодавно виявлена шкідлива програма містить чудові методи обфускації та реалізацію власного коду, призначені для ускладнення виявлення та аналізу кіберкриміналістами. Ймовірно, розробники вже орендують WikiLoader вибраним кіберзлочинцям.
На основі своїх спостережень Proofpoint вважає, що це зловмисне програмне забезпечення також використовується іншими групами кіберзлочинців, зокрема тими, які діють як брокери початкового доступу (IAB).
Атакуйте кампанії за допомогою WikiLoader
Експерти Proofpoint виявили щонайменше вісім кампаній, у яких WikiLoader поширювався з грудня 2022 року. Кіберкампанії почалися з електронних листів, які містили вкладення Microsoft Excel, Microsoft OneNote або PDF-файли. WikiLoader розповсюджувала не лише TA544, але й принаймні ще одна група, TA551. Обидва злочинці зосередили свою увагу на Італії. У той час як більшість кіберзлочинців відійшли від використання документів на основі макросів як засобу розповсюдження зловмисного програмного забезпечення, TA544 продовжує використовувати їх у своїх ланцюжках атак, зокрема для поширення WikiLoader.
Найпомітніші кампанії WikiLoader експерти Proofpoint спостерігали 27 грудня 2022 року, 8 лютого 2023 року та зовсім недавно, 11 липня 2023 року. WikiLoader спостерігався як подальше корисне навантаження після встановлення Ursnif.
Інфіковані вкладення Excel, OneNote або PDF
«WikiLoader — це нове складне шкідливе програмне забезпечення, яке лише нещодавно з’явилося в середовищі кіберзлочинності і досі було пов’язане переважно з кампаніями розповсюдження Ursnif. Зараз він знаходиться в стадії активної розробки, і його автори, здається, регулярно вносять зміни, щоб залишатися непоміченими та обходити загальні засоби захисту», — сказала Селена Ларсон, старший аналітик аналізу загроз у Proofpoint.
«Зрозуміло, що інші групи кіберзлочинців використовуватимуть це шкідливе програмне забезпечення в осяжному майбутньому, зокрема так звані брокери початкового доступу (IAB). Вони регулярно привертають увагу до себе діяльністю, яка сприяє поширенню програм-вимагачів. Керівники кібербезпеки повинні ознайомитися з цим новим зловмисним програмним забезпеченням і останніми діями, пов’язаними з його розповсюдженням, і вжити заходів для захисту своїх організацій від зараження».
Експерти Proofpoint зібрали свої висновки щодо WikiLoader у детальному технічному дослідженні та узагальнили їх у англомовному дописі в блозі.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.