ウィキローダーマルウェア

新しいフィッシング キャンペーンは、WikiLoader という名前の新たに発見されたマルウェアを利用して、イタリアの組織をターゲットにしています。この高度なダウンローダーの主な目的は、侵害されたデバイスにマルウェアの 2 番目のペイロードをインストールすることです。検出を回避するために、WikiLoader は複数の回避メカニズムを採用しており、特定のサイバー犯罪者が利用できるレンタル用マルウェアとして設計された可能性があることを示しています。 「WikiLoader」という名前は、Wikipedia にリクエストを送信し、その応答に文字列「The Free」が含まれているかどうかを確認するというマルウェアの動作に由来しています。

このマルウェアが実際に初めて目撃されたのは、2022 年 12 月 27 日で、TA544 として知られる脅威アクター (Bamboo Spider およびZeus Pandaとしても識別される) によって操作された侵入セットに関連して発生しました。特に、WikiLoader 感染の最終ペイロードはUrsnif (Gozi) であるようです。これは、バンキング トロイの木馬、スティーラー、スパイウェアの機能を備えた悪名高いマルウェアの脅威です。

サイバー犯罪者はフィッシングルアーを使用して WikiLoader を配信します

WikiLoader に関連したフィッシング キャンペーンは、Microsoft Excel、Microsoft OneNote、PDF ファイルなどのさまざまな添付ファイルを含む電子メールの使用を中心に展開しています。これらの添付ファイルは、ダウンローダー ペイロードを展開するおとりとして機能し、Ursnif マルウェアのインストールを促進します。

興味深い観察結果は、最初の感染の原因となったマルウェアである WikiLoader が複数のサイバー犯罪グループ間で共有されているようだということです。 TA551 または Shathak として知られるそのようなグループの 1 つが、2023 年 3 月下旬の時点で活動に WikiLoader を使用していることが最近観察されています。

2023 年 7 月中旬、脅威アクター TA544 によって実行されたさらなるキャンペーンでは、会計をテーマにした PDF 添付ファイルが使用されました。これらの添付ファイルには URL が含まれており、クリックすると ZIP アーカイブ ファイルが配信されます。このアーカイブ内では、JavaScript ファイルが WikiLoader マルウェアをダウンロードして実行し、攻撃チェーンを開始します。

WikiLoader は高度な回避技術を採用

WikiLoader は堅牢な難読化技術を採用し、エンドポイント セキュリティ ソフトウェアをバイパスする回避戦術を採用し、自動分析環境での検出を確実に回避します。さらに、Discord でホストされているシェルコード ペイロードを取得して実行するように意図的に設計されており、最終的には Ursnif マルウェアの発射台として機能します。

専門家が指摘しているように、WikiLoader は積極的に開発されており、その作成者は秘密の活動を検知されずに目立たないようにするために定期的に変更を加えています。

より多くの犯罪攻撃者が WikiLoader を採用する可能性が高く、特に初期アクセス ブローカー (IAB) として特定されている攻撃者は、ランサムウェア攻撃につながることが多い活動に関与することで知られています。防御者とサイバーセキュリティ チームは、この新しいマルウェアとペイロードの配信に関わる複雑さについて常に警戒し、情報を得る必要があります。悪用の影響を軽減するには、潜在的な悪用から組織を守るための事前の対策を講じることが不可欠です。