Википедия стала инструментом для маскировки нового вредоносного загрузчика WikiLoader

Исследователи кибербезопасности из компании Proofpoint обнаружили новое вредоносное программное обеспечение WikiLoader, представляющее из себя загрузчик, который активно разрабатывается и использует несколько механизмов, чтобы избежать обнаружения.

Как сообщают специалисты, WikiLoader уже фиксировался в нескольких кампаниях, начиная с декабря 2022 года. А основной целью данных зловредных операций стали итальянские организации.

WikiLoader распространяется через различные векторы, включая документы с макросами, PDF-файлы, содержащие ссылки на полезные нагрузки, написанные на JavaScript, а также через вложения OneNote со встроенными исполняемыми файлами.

Главная задача WikiLoader — загрузить полезную нагрузку второй стадии. По словам экспертов, довольно часто второй этап заражения приносит с собой одну из вариаций вредоноса Ursnif.

Загрузчик получил название WikiLoader, потому что отправляет HTTPS-запрос к «wikipedia.com» и проверяет, содержится ли в ответе строка «The Free». По мнению Proofpoint, данная уловка используется для уклонения от автоматизированной среды анализа. Однако это лишь одна из многих функций, призванных держать вредоносное ПО в тени.

«Первая стадия WikiLoader сильно обфусцирована. Большинство инструкций вызова заменены комбинацией инструкций push/jmp, чтобы воссоздать действия возврата без необходимости явно использовать инструкцию возврата», — пояснили в Proofpoint.

«Такой подход вызывает проблемы с обнаружением у распространённых инструментов анализа, таких как IDA Pro и Ghidra. Помимо этих функций, WikiLoader также использует непрямые системные вызовы в попытке обойти EDR-решения и перехваты в изолированной среде».

Вредоносное ПО также использует упакованные загрузчики — весьма распространённую тактику, применяемую злоумышленниками, чтобы избежать обнаружения и анализа.

Proofpoint обнаружила по меньшей мере три разных вариации WikiLoader, что намекает на активную разработку вредоноса. Авторы стремятся сделать своё творение более сложным, а полезную нагрузку — труднее для извлечения и анализа исследователями.

Последняя версия WikiLoader, обнаруженная 11 июля, использует сложные методы шифрования данных, скрытые способы управления системой, извлекает файлы через зашифрованный протокол и тщательно маскирует свои действия.

Эксперты предупреждают, что вредоносное ПО может стать полезным инструментом для брокеров первоначального доступа (IAB), которые с его помощью могут доставлять любые другие вредоносы во время своих атак.

«Организации должны убедиться, что макросы отключены по умолчанию для всех сотрудников, заблокировать выполнение встроенных внешних файлов в документах OneNote и обеспечить, чтобы файлы JavaScript по умолчанию открывались в блокноте или аналогичном приложении путём настройки ассоциаций расширений файлов по умолчанию через настройки групповой политики», — заключили исследователи Proofpoint.