Исследователи Proofpoint раскрыли методы и замыслы цифровых негодяев.
Исследователи кибербезопасности из компании Proofpoint обнаружили новое вредоносное программное обеспечение WikiLoader, представляющее из себя загрузчик, который активно разрабатывается и использует несколько механизмов, чтобы избежать обнаружения.
Как сообщают специалисты, WikiLoader уже фиксировался в нескольких кампаниях, начиная с декабря 2022 года. А основной целью данных зловредных операций стали итальянские организации.
WikiLoader распространяется через различные векторы, включая документы с макросами, PDF-файлы, содержащие ссылки на полезные нагрузки, написанные на JavaScript, а также через вложения OneNote со встроенными исполняемыми файлами.
Главная задача WikiLoader — загрузить полезную нагрузку второй стадии. По словам экспертов, довольно часто второй этап заражения приносит с собой одну из вариаций вредоноса Ursnif.
Загрузчик получил название WikiLoader, потому что отправляет HTTPS-запрос к «wikipedia.com» и проверяет, содержится ли в ответе строка «The Free». По мнению Proofpoint, данная уловка используется для уклонения от автоматизированной среды анализа. Однако это лишь одна из многих функций, призванных держать вредоносное ПО в тени.
«Первая стадия WikiLoader сильно обфусцирована. Большинство инструкций вызова заменены комбинацией инструкций push/jmp, чтобы воссоздать действия возврата без необходимости явно использовать инструкцию возврата», — пояснили в Proofpoint.
«Такой подход вызывает проблемы с обнаружением у распространённых инструментов анализа, таких как IDA Pro и Ghidra. Помимо этих функций, WikiLoader также использует непрямые системные вызовы в попытке обойти EDR-решения и перехваты в изолированной среде».
Вредоносное ПО также использует упакованные загрузчики — весьма распространённую тактику, применяемую злоумышленниками, чтобы избежать обнаружения и анализа.
Proofpoint обнаружила по меньшей мере три разных вариации WikiLoader, что намекает на активную разработку вредоноса. Авторы стремятся сделать своё творение более сложным, а полезную нагрузку — труднее для извлечения и анализа исследователями.
Последняя версия WikiLoader, обнаруженная 11 июля, использует сложные методы шифрования данных, скрытые способы управления системой, извлекает файлы через зашифрованный протокол и тщательно маскирует свои действия.
Эксперты предупреждают, что вредоносное ПО может стать полезным инструментом для брокеров первоначального доступа (IAB), которые с его помощью могут доставлять любые другие вредоносы во время своих атак.
«Организации должны убедиться, что макросы отключены по умолчанию для всех сотрудников, заблокировать выполнение встроенных внешних файлов в документах OneNote и обеспечить, чтобы файлы JavaScript по умолчанию открывались в блокноте или аналогичном приложении путём настройки ассоциаций расширений файлов по умолчанию через настройки групповой политики», — заключили исследователи Proofpoint.