Компания Proofpoint завила в своем новом отчете о выявлении нового вредоносного ПО, получившего название WikiLoader, которое используется в ряде киберпреступных кампаний. Начиная с декабря 2022 года, этот вредонос был использован хакерами преимущественно против итальянских и других европейских организаций.
В опубликованном несколько дней назад отчёте Proofpoint говорится, что WikiLoader распространяется через множество векторов, включая документы с поддержкой макросов, PDF-файлы со встроенными URL-ссылками, а также через вложения OneNote со встроенными исполняемыми файлами. Его главная функция — это загрузка полезной нагрузки второго этапа, чаще всего представляющей собой вредоносное программное обеспечение Ursnif.
Название WikiLoader было выбрано из-за того, что вредоносное ПО выполняет запрос к домену wikimedia.com, проверяя наличие строки The Free в ответе. Эксперты по информационной безопасности из Proofpoint отмечают, что, вероятно, это является попыткой уклонения от обнаружения, которая используется, чтобы помешать функционированию в среде автоматизированного анализа.
В компании Proofpoint рассказали, что вредонос WikiLoader обладает сложной структурой. В отчёте подчеркивается, что его инструкция вызова заменяется комбинацией инструкций push/gmp, что создаёт проблемы для популярных инструментов анализа, таких как IDA Pro и Ghidra. Кроме того, WikiLoader использует непрямые системные вызовы для обхода систем обнаружения и «песочниц».
Вредонос также использует упакованные загрузчики, стремясь усилить свои возможности уклонения от обнаружения. В отчете говорится о выявлении как минимум трёх версий WikiLoader, что указывает на его активное развитие. Его создатели, по всей видимости, стремятся усложнить его, чтобы специалистам было сложнее его обнаружить.
Proofpoint также подчеркивает, что такой вид вредоноса может стать ценным инструментом для киберпреступников при начальных этапах кибератак.
Полная версия отчета компании Proofpoint представлена по следующей ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
