Logiciel malveillant WikiLoader

Une nouvelle campagne de phishing cible des organisations en Italie, utilisant une souche de malware récemment découverte nommée WikiLoader. Ce téléchargeur sophistiqué a pour objectif principal d'installer une deuxième charge utile de logiciels malveillants sur les appareils compromis. Pour éviter d'être détecté, WikiLoader utilise plusieurs mécanismes d'évasion, ce qui indique qu'il pourrait avoir été conçu comme un logiciel malveillant à louer, disponible pour des cybercriminels spécifiques. Le nom "WikiLoader" est dérivé du comportement du logiciel malveillant consistant à envoyer une requête à Wikipédia et à vérifier si la réponse contient la chaîne "The Free".

La première observation de ce malware dans la nature s'est produite le 27 décembre 2022, en relation avec un ensemble d'intrusions exploité par un acteur malveillant connu sous le nom de TA544, également identifié comme Bamboo Spider et Zeus Panda . Notamment, la charge utile finale dans les infections WikiLoader semble être Ursnif (Gozi). Il s'agit d'une menace malveillante notoire équipée de capacités de cheval de Troie bancaire, de voleur et de logiciel espion.

Les cybercriminels utilisent des leurres de phishing pour livrer WikiLoader

Les campagnes de phishing liées à WikiLoader tournent autour de l'utilisation d'e-mails contenant diverses pièces jointes comme Microsoft Excel, Microsoft OneNote ou des fichiers PDF. Ces pièces jointes agissent comme des leurres pour déployer la charge utile du téléchargeur, qui, à son tour, facilite l'installation du logiciel malveillant Ursnif.

Une observation intéressante est que WikiLoader, le logiciel malveillant responsable de l'infection initiale, semble être partagé par plusieurs groupes de cybercriminels. Un de ces groupes, connu sous le nom de TA551 ou Shathak, a récemment été observé en utilisant WikiLoader dans ses activités à la fin mars 2023.

À la mi-juillet 2023, d'autres campagnes menées par l'acteur menaçant TA544 ont utilisé des pièces jointes PDF sur le thème de la comptabilité. Ces pièces jointes contenaient des URL qui, une fois cliquées, entraînaient la livraison d'un fichier d'archive ZIP. Au sein de cette archive, un fichier JavaScript est responsable du téléchargement et de l'exécution du malware WikiLoader, initiant la chaîne d'attaque.

WikiLoader utilise des techniques d'évasion sophistiquées

WikiLoader utilise des techniques d'obscurcissement robustes et utilise des tactiques d'évitement pour contourner le logiciel de sécurité des terminaux, garantissant ainsi qu'il évite la détection dans les environnements d'analyse automatisés. De plus, il est délibérément conçu pour récupérer et exécuter une charge utile de shellcode hébergée sur Discord, servant finalement de rampe de lancement pour le malware Ursnif.

Comme indiqué par les experts, WikiLoader est activement développé et ses créateurs mettent régulièrement en œuvre des changements pour maintenir leurs opérations secrètes non détectées et sous le radar.

Il est fort probable que davantage d'acteurs de la menace criminelle adopteront WikiLoader, en particulier ceux identifiés comme des courtiers d'accès initiaux (IAB), connus pour s'engager dans des activités qui conduisent souvent à des attaques de ransomwares. Les défenseurs et les équipes de cybersécurité doivent être vigilants et informés de ce nouveau logiciel malveillant et des subtilités impliquées dans la livraison de la charge utile. Prendre des mesures proactives pour protéger leurs organisations contre une exploitation potentielle est essentiel pour atténuer son impact.