Organizacije u Italiji su na meti nove phishing kampanje koja koristi novu vrstu malicioznog softvera pod nazivom WikiLoader s krajnjim ciljem da instalira bankarski trojanac, kradljivac i špijunski softver pod nazivom Ursnif (aka Gozi).
“To je sofisticirani program za preuzimanje sa ciljem instaliranja drugog sadržaja malicioznog softvera”, navodi Proofpoint u tehničkom izvještaju. “Maliciozni softver koristi više mehanizama kako bi izbjegao otkrivanje i vjerovatno je razvijen kao maliciozni softver koji se može iznajmiti za odabir hakera kibernetičkih kriminalnih prijetnji.”
WikiLoader je tako nazvan zbog malicioznog softvera koji šalje zahtjev Wikipediji i provjerava da li odgovor ima string “The Free”.
Kompanija za sigurnost preduzeća saopštila je da je prvi put otkrila maliciozni softver u divljini 27. decembra 2022. godine, u vezi sa setom za upad koji je montirao haker kojeg prati kao TA544, koji je takođe poznat kao Bamboo Spider i Zeus Panda.
Kampanje su usmjerene na korištenje e-poruka koje sadrže ili Microsoft Excel, Microsoft OneNote ili PDF priloge koji djeluju kao mamac za implementaciju programa za preuzimanje, koji se kasnije koristi za instaliranje Ursnifa.
Kao znak da WikiLoader dijeli više grupa kibernetičkog kriminala, haker nazvan TA551 (aka Shathak) također je primijećen kako koristi maliciozni softver od kraja marta 2023. godine.
Nedavne TA544 kampanje otkrivene sredinom jula 2023. godine koristile su računovodstvene teme za propagiranje PDF priloga sa URL-ovima koji, kada se kliknu, vode do isporuke ZIP arhivskog fajla, koji pak pakuje JavaScript fajl dizajniran za preuzimanje i izvršavanje WikiLoader-a.
WikiLoader je jako zamućen i dolazi sa manevrima izbjegavanja za zaobilaženje sigurnosnog softvera krajnjih tačaka i izbjegavanje detonacije u okruženjima automatizirane analize. Također je dizajniran za preuzimanje i pokretanje korisnog opterećenja shellcode-a koji se nalazi na Discordu, koji se na kraju koristi za pokretanje Ursnifa.
“Trenutno je u aktivnom razvoju, a čini se da njegovi autori prave redovne izmjene kako bi pokušali ostati neotkriveni i proći ispod radara”, rekla je Selena Larson, viši analitičar za obavještavanje o prijetnjama u Proofpointu, u izjavi.
“Verovatno će više hakera kriminalnih prijetnji koristiti ovo, posebno onih poznatih kao brokeri za početni pristup (IAB) koji provode redovne aktivnosti koje vode do ransomware-a. Branitelji bi trebali biti svjesni ovog novog malicioznog softvera i aktivnosti uključenih u isporuku korisnog tereta i poduzeti korake da zaštite svoje organizacije od eksploatacije.”
Izvor: The Hacker News