Onderzoekers van Proofpoint ontdekten een nieuwe malware. Deze vorm van malware dient een verzoek in bij Wikipedia en controleert of het antwoord de woorden ‘The Free’ bevat. De onderzoekers noemen de malware daarom WikiLoader.
Afbeelding 1: screenshot van de loader die de Wikipedia URL controleert, weergeven in een internetbrowser.
WikiLoader werd voor het eerst ontdekt in december 2022. TA544, een actor die doorgaans Ursnif-malware gebruikt bij het targetten van Italiaanse organisaties, leverde de malware af. Proofpoint nam meerdere vervolgcampagnes waar die zich richten tot Italiaanse organisaties. WikiLoader is een geavanceerde downloader met als doel het installeren van een tweede malware payload. WikiLoader bevat interessante ontwijkingstechnieken en aangepaste implementatiecodes wat het opsporen en analyseren van deze malware erg lastig maakt. Het is waarschijnlijk ontwikkeld als malware die verhuurd kan worden aan geselecteerde cybercriminele dreigingsactoren. Proofpoint verwacht dat voornamelijk Initial Access Brokers, IABs, deze malware gebruiken.
Tot nu toe zag Proofpoint dat WikiLoader Ursnif aflevert als een second-stage payload. Maar, omdat meerdere bedreigingsactoren gebruik maken van deze malware, is het mogelijk dat meer cybercrime actoren – vooral cybercriminelen die IABs gebruiken – WikiLoader in de toekomst inzetten als middel voor het afleveren van aanvullende malware payloads.
Selena Larson, senior threat intelligence analyst bij Proofpoint: “WikiLoader is een geavanceerde, nieuwe malware die onlangs opdook in het cybercriminele bedreigingslandschap. De malware wordt tot nu toe geassocieerd met campagnes die Ursnif leveren. WikiLoader wordt momenteel actief ontwikkeld en het lijkt erop dat de auteurs regelmatig wijzigingen aanbrengen in de hoop onopgemerkt en onder de radar te blijven. Het is zeer waarschijnlijk dat meer criminele dreigingsactoren gebruik maken van deze malware, vooral criminelen die bekend staan als ‘Initial Access Brokers (IABs)’. Zij voeren regelmatig activiteiten uit die leiden tot ransomware. Verdedigers moeten zich bewust zijn van WikiLoader en activiteiten die betrokken zijn bij het afleveren van payloads. En ze moeten actie ondernemen om hun organisatie te beschermen tegen uitbuiting.”
Proofpoint is op basis van deze analyse overtuigd dat deze malware zich snel ontwikkelt. Ook verwacht het bedrijf dat de actoren de loader gecompliceerder maken, zodat de payload moeilijker te achterhalen is.
Bedreigingsactoren leveren WikiLoader af via activiteiten die zij regelmatig waarnemen. Denk aan documenten met macro’s, pdf-bestanden met URL’s die leiden naar een JavaScript-payload en OneNote-bijlagen met ingesloten uitvoerbare bestanden. Voor het starten van de malware-installatie, is interactie tussen de gebruikers nodig. Organisaties kunnen dit een halt toe roepen door macro’s standaard uit te schakelen voor alle medewerkers, de uitvoering van ingesloten externe OneNote-documenten blokkeren en door JavaScript-bestanden automatisch te laten openen via een kladblok (of een vergelijkbare applicatie) door standaard associaties van bestandextensies aan te passen via Group Policy Object (GPO).
Voorbeelden van WikiLoader
Sinds december 2022 ontdekten onderzoekers van het cybersecurity bedrijf ten minste acht campagnes die WikiLoader verspreiden. Bijvoorbeeld via mails die een bijlage hadden met een Microsoft Excel-, Microsoft OneNote- of pdf-document. Ook stelde Proofpoint vast dat TA544 en TA551 de malware verspreidden. Wat opmerkelijk is, aangezien
de meeste cybercriminelen geen gebruik meer maken van macro-documenten bij het verspreiden van malware.
Op 27 december 2022 namen onderzoekers de eerste campagne waar (zie afbeelding 2). Hierbij werd WikiLoader via een grote hoeveelheid schadelijke spoofing e-mails verspreid. De mails richtten zich op Italiaanse bedrijven en bevatten een Excel bijlage waarmee de criminelen de Italiaanse Belastingdienst nabootsten. Ook bevatten de e-mails karakteristieke VBA-macro’s die, als de ontvanger ze inschakelt, een nieuwe ongeïdentificeerde downloader downloadt (WikiLoader). Proofpoint schreef deze campagne toe aan TA544.
Afbeelding 2: een screenshot van een Excel bijlage wat op 27 december 2022 werd ingezet tijdens een WikiLoader-campagne.
Op 8 februari 2023 ontdekten de onderzoekers van Proofpoint een geüpdatete versie van WikiLoader, waarbij een Italiaanse bezorgdienst werd gespooft. Deze campagne werd wederom via een Excel-bijlage verspreidt en bevatte VBA-macro’s die, zodra de ontvanger ze inschakelde, leidden tot de installatie van WikiLoader die vervolgens Ursnif downloadde. Hoewel deze versie net als zijn voorganger via Excel werd verspreid, was deze vorm complexer van structuur en had het extra blokkeermechanismen die werden gebruikt bij het omzeilen van geautomatiseerde mechanismen en het gebruik van gecodeerde tekenreeksen.
Afbeelding 3: een Exceldocument met macro’s die tijdens de aanval van 8 februari 2023 werd gebruikt.
Op 31 maart 2023 leverde TA551 WikiLoader via een OneNote-bijlage. Deze bijlage bevatte verborgen CMD-bestanden achter een ‘open’ button. Zodra de ontvanger op de button klikte, werd de malware gedownload en geïnstalleerd. Deze campagne richtte zich wederom tot Italiaanse bedrijven. Het was de eerste keer dat een andere actor dan TA544 WikiLoader gebruikte.
Onderzoekers identificeerden onlangs aanvullende wijzigingen in het protocol dat werd gebruikt in de actief ontwikkelde malware. In deze campagne, die op 11 juli 2023 plaatsvond, gebruikte TA544 boekhoudthema’s om pdf-bijlagen te versturen. URL’s in dit bestand leidden naar een gezipt JavaScript-bestand. Zodra dit bestand werd uitgevoerd, werd WikiLoader gedownload en uitgevoerd. Deze campagne bestond uit 150.000 berichten en richtte zich, in tegenstelling tot zijn voorgangers, niet meer exclusief op Italiaanse organisaties.
Afbeelding 4: voorbeeld van een e-mail van de aanval op 11 juli 2023.
Afbeelding 5: voorbeeld van een pdf-bestand wat cybercriminelen gebruikten tijdens de campagne op 11 juli 2023.