Bei WikiLoader handelt es sich um ein ausgeklügelten Downloader, der dazu dient, eine weitere Malware-Payload zu installieren. Die neuentdeckte Malware umfasst bemerkenswerte Verschleierungstechniken und benutzerdefinierte Code-Implementierungen, die eine Erkennung und Analyse durch Cyberforensiker erschweren sollen. Die Entwickler vermieten WikiLoader vermutlich bereits auch an ausgewählte cyberkriminelle Akteure.
Aufgrund seiner Beobachtungen geht Proofpoint davon aus, dass diese Malware auch von anderen cyberkriminellen Gruppen genutzt wird, insbesondere von solchen, die als Initial Access Broker (IABs) agieren.
Kampagnen mit WikiLoader
Die Proofpoint-Experten haben mindestens acht Kampagnen aufgedeckt, bei denen WikiLoader seit Dezember 2022 verbreitet wurde. Die Cyberkampagnen nahmen ihren Ausgang mit E-Mails, die entweder Microsoft-Excel-Anhänge, Microsoft-OneNote-Anhänge oder PDF-Anhänge enthielten. Dabei wurde WikiLoader nicht nur von TA544 verbreitet, sondern noch von mindestens einer weiteren Gruppe, TA551. Beide kriminellen Akteure richteten ihr Hauptaugenmerk auf Italien. Während die meisten Cyberkriminellen von makrobasierten Dokumenten als Vehikel für die Verbreitung von Malware Abstand genommen haben, nutzt TA544 diese weiterhin in ihren Angriffsketten, auch um WikiLoader zu verbreiten.
Die bemerkenswertesten WikiLoader-Kampagnen konnten die Proofpoint-Experten am 27. Dezember 2022, am 8. Februar 2023 und am 11. Juli 2023 beobachten. Dabei wurde WikiLoader nach der Installation von Ursnif als Folge-Payload beobachtet.
„WikiLoader ist eine ausgeklügelte neue Malware, die erst kürzlich in der Cybercrime-Landschaft aufgetaucht ist und bisher vor allem mit Kampagnen zur Verbreitung von Ursnif in Verbindung steht. Sie wird derzeit aktiv weiterentwickelt, und ihre Autoren scheinen regelmäßig Änderungen vorzunehmen, um weiterhin unerkannt zu bleiben und gängige Abwehrmaßnahmen zu umgehen“, erklärt Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint. „Es ist naheliegend, dass in absehbarer Zeit weitere cyberkriminelle Gruppen diese Malware nutzen werden, insbesondere die sogenannten Initial Access Broker (IABs). Diese machen regelmäßig mit Aktivitäten auf sich aufmerksam, die der Verbreitung von Ransomware dienen. Cybersecurity-Verantwortliche sollten sich mit dieser neuen Malware und den neuesten Aktivitäten rund um deren Verbreitung vertraut machen und Maßnahmen ergreifen, um ihre Organisationen vor einer Infektion zu schützen.“
Die Proofpoint-Experten haben ihre Erkenntnisse rund um WikiLoader in einer detaillierten, technischen Untersuchung zusammengestellt. Die vollständigen Ergebnisse lassen sich hier finden.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
AxiCom GmbH
E-Mail: katharina.oehm@axicom.com