WikiLoader-Malware

Eine neue Phishing-Kampagne zielt auf Unternehmen in Italien ab und nutzt eine neu entdeckte Malware-Variante namens WikiLoader. Das Hauptziel dieses hochentwickelten Downloaders besteht darin, eine zweite Malware-Payload auf kompromittierten Geräten zu installieren. Um einer Entdeckung zu entgehen, setzt WikiLoader mehrere Umgehungsmechanismen ein, was darauf hindeutet, dass es möglicherweise als gemietete Schadsoftware konzipiert wurde, die bestimmten cyberkriminellen Bedrohungsakteuren zur Verfügung steht. Der Name „WikiLoader“ leitet sich vom Verhalten der Malware ab, eine Anfrage an Wikipedia zu stellen und zu überprüfen, ob die Antwort die Zeichenfolge „The Free“ enthält.

Die erste Sichtung dieser Malware in freier Wildbahn erfolgte am 27. Dezember 2022 im Zusammenhang mit einem Intrusion-Set, das von einem Bedrohungsakteur namens TA544 betrieben wurde, der auch als Bamboo Spider und Zeus Panda bekannt ist. Bemerkenswerterweise scheint die letzte Nutzlast bei WikiLoader-Infektionen Ursnif (Gozi) zu sein. Dabei handelt es sich um eine berüchtigte Malware-Bedrohung, die mit Banking-Trojanern, Stealer- und Spyware-Funktionen ausgestattet ist.

Cyberkriminelle nutzen Phishing-Köder, um WikiLoader bereitzustellen

Die mit WikiLoader verbundenen Phishing-Kampagnen drehen sich um die Verwendung von E-Mails mit verschiedenen Anhängen wie Microsoft Excel-, Microsoft OneNote- oder PDF-Dateien. Diese Anhänge dienen als Lockmittel für die Bereitstellung der Downloader-Payload, was wiederum die Installation der Ursnif-Malware erleichtert.

Eine interessante Beobachtung ist, dass WikiLoader, die für die Erstinfektion verantwortliche Malware, offenbar von mehreren Cyberkriminalitätsgruppen gemeinsam genutzt wird. Eine solche Gruppe, bekannt als TA551 oder Shathak, wurde kürzlich beobachtet, wie sie ab Ende März 2023 WikiLoader für ihre Aktivitäten nutzte.

Mitte Juli 2023 wurden in weiteren Kampagnen des Bedrohungsakteurs TA544 PDF-Anhänge zum Thema Buchhaltung eingesetzt. Diese Anhänge enthielten URLs, deren Anklicken zur Zustellung einer ZIP-Archivdatei führte. Innerhalb dieses Archivs ist eine JavaScript-Datei für das Herunterladen und Ausführen der WikiLoader-Malware verantwortlich und leitet so die Angriffskette ein.

WikiLoader nutzt ausgefeilte Umgehungstechniken

WikiLoader nutzt robuste Verschleierungstechniken und Ausweichtaktiken, um Endpunkt-Sicherheitssoftware zu umgehen und sicherzustellen, dass sie in automatisierten Analyseumgebungen nicht erkannt wird. Darüber hinaus ist es gezielt darauf ausgelegt, eine auf Discord gehostete Shellcode-Nutzlast abzurufen und auszuführen, die letztendlich als Startrampe für die Ursnif-Malware dient.

Wie von Experten angegeben, wird WikiLoader aktiv weiterentwickelt und seine Entwickler nehmen regelmäßig Änderungen vor, um ihre verdeckten Operationen unentdeckt und unter dem Radar zu halten.

Es ist sehr wahrscheinlich, dass mehr kriminelle Bedrohungsakteure WikiLoader übernehmen werden, insbesondere diejenigen, die als Initial Access Brokers (IABs) identifiziert werden und für ihre Aktivitäten bekannt sind, die häufig zu Ransomware-Angriffen führen. Verteidiger und Cybersicherheitsteams müssen wachsam und über diese neue Malware und die Komplexität der Nutzlastbereitstellung informiert sein. Um die Auswirkungen abzumildern, sind proaktive Maßnahmen zum Schutz ihrer Organisationen vor potenzieller Ausbeutung von entscheidender Bedeutung.