Software malicioso WikiLoader

Una nueva campaña de phishing está dirigida a organizaciones en Italia, utilizando una cepa de malware recién descubierta llamada WikiLoader. Este descargador sofisticado tiene el objetivo principal de instalar una segunda carga útil de malware en dispositivos comprometidos. Para evitar la detección, WikiLoader emplea múltiples mecanismos de evasión, lo que indica que podría haber sido diseñado como un malware de alquiler, disponible para actores de amenazas cibernéticos específicos. El nombre 'WikiLoader' se deriva del comportamiento del malware de realizar una solicitud a Wikipedia y verificar si la respuesta contiene la cadena 'The Free'.

El primer avistamiento de este malware en estado salvaje ocurrió el 27 de diciembre de 2022, en relación con un conjunto de intrusión operado por un actor de amenazas conocido como TA544, también identificado como Bamboo Spider y Zeus Panda . En particular, la carga útil final en las infecciones de WikiLoader parece ser Ursnif (Gozi). Esta es una amenaza de malware notoria equipada con capacidades de troyano bancario, ladrón y spyware.

Los ciberdelincuentes usan señuelos de phishing para entregar WikiLoader

Las campañas de phishing relacionadas con WikiLoader giran en torno al uso de correos electrónicos que contienen varios archivos adjuntos como Microsoft Excel, Microsoft OneNote o archivos PDF. Estos archivos adjuntos actúan como señuelos para implementar la carga útil del descargador, lo que, a su vez, facilita la instalación del malware Ursnif.

Una observación interesante es que WikiLoader, el malware responsable de la infección inicial, parece estar compartido entre varios grupos de ciberdelincuencia. Uno de esos grupos, conocido como TA551 o Shathak, se ha observado recientemente utilizando WikiLoader en sus actividades a fines de marzo de 2023.

A mediados de julio de 2023, otras campañas realizadas por el actor de amenazas TA544 emplearon archivos adjuntos en PDF con temas contables. Estos archivos adjuntos contenían URL que, cuando se hacía clic en ellos, conducían a la entrega de un archivo ZIP. Dentro de este archivo, un archivo JavaScript es responsable de descargar y ejecutar el malware WikiLoader, iniciando la cadena de ataque.

WikiLoader emplea técnicas de evasión sofisticadas

WikiLoader emplea sólidas técnicas de ofuscación y emplea tácticas evasivas para eludir el software de seguridad de punto final, asegurando que evita la detección durante los entornos de análisis automatizados. Además, está diseñado a propósito para recuperar y ejecutar una carga útil de shellcode alojada en Discord y, en última instancia, sirve como plataforma de lanzamiento para el malware Ursnif.

Como indican los expertos, WikiLoader se está desarrollando activamente, y sus creadores implementan cambios regularmente para mantener sus operaciones encubiertas sin ser detectadas y bajo el radar.

Es muy probable que más actores de amenazas criminales adopten WikiLoader, especialmente aquellos identificados como intermediarios de acceso inicial (IAB), conocidos por participar en actividades que a menudo conducen a ataques de ransomware. Los defensores y los equipos de ciberseguridad deben estar alertas e informados sobre este nuevo malware y las complejidades involucradas en la entrega de la carga útil. Tomar medidas proactivas para salvaguardar sus organizaciones contra la explotación potencial es esencial para mitigar su impacto.