Proofpoint hat eine neue Schadsoftware namens Wikiloader entdeckt. Sie verbreitet Ursnif-Malware über Office-Anhänge.

Proofpoint has discovered a new malware called Wikiloader. It spreads Ursnif malware via Office attachments.

Experten von Proofpoint haben eine neue Malware enttarnt, die sie “WikiLoader” getauft haben. Erstmals beobachten konnten die Experten die neue Malware, als sie von TA544 (Threat Actor 544) verbreitet wurde, einer Gruppe Cyberkrimineller, die normalerweise Ursnif-Malware in ihren Attacken verwendet, um Unternehmen vornehmlich in Italien anzugreifen. In der Folge konnte Proofpoint weitere Cyberkampagnen beobachten.

Bei WikiLoader handelt es sich um einen ausgeklügelten Downloader, der dazu dient, eine weitere Malware-Payload zu installieren. Die neuentdeckte Malware umfasst bemerkenswerte Verschleierungstechniken und benutzerdefinierte Code-Implementierungen, die eine Erkennung und Analyse durch Cyberforensiker erschweren sollen. Die Entwickler vermieten WikiLoader vermutlich bereits auch an ausgewählte cyberkriminelle Akteure.

Aufgrund seiner Beobachtungen geht Proofpoint davon aus, dass diese Malware auch von anderen cyberkriminellen Gruppen genutzt wird, insbesondere von solchen, die als Initial Access Broker (IABs) agieren.

Kampagnen mit WikiLoader

Die Proofpoint-Experten haben mindestens acht Kampagnen aufgedeckt, bei denen WikiLoader seit Dezember 2022 verbreitet wurde. Die Cyberkampagnen nahmen ihren Ausgang mit E-Mails, die entweder Microsoft-Excel-Anhänge, Microsoft-OneNote-Anhänge oder PDF-Anhänge enthielten. Dabei wurde WikiLoader nicht nur von TA544 verbreitet, sondern noch von mindestens einer weiteren Gruppe, TA551. Beide kriminellen Akteure richteten ihr Hauptaugenmerk auf Italien. Während die meisten Cyberkriminellen von makrobasierten Dokumenten als Vehikel für die Verbreitung von Malware Abstand genommen haben, nutzt TA544 diese weiterhin in ihren Angriffsketten, auch um WikiLoader zu verbreiten.

Die bemerkenswertesten WikiLoader-Kampagnen konnten die Proofpoint-Experten am 27. Dezember 2022, am 8. Februar 2023 und am 11. Juli 2023 beobachten. Dabei wurde WikiLoader nach der Installation von Ursnif als Folge-Payload beobachtet.

„WikiLoader ist eine ausgeklügelte neue Malware, die erst kürzlich in der Cybercrime-Landschaft aufgetaucht ist und bisher vor allem mit Kampagnen zur Verbreitung von Ursnif in Verbindung steht. Sie wird derzeit aktiv weiterentwickelt, und ihre Autoren scheinen regelmäßig Änderungen vorzunehmen, um weiterhin unerkannt zu bleiben und gängige Abwehrmaßnahmen zu umgehen“, erklärt Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint. „Es ist naheliegend, dass in absehbarer Zeit weitere cyberkriminelle Gruppen diese Malware nutzen werden, insbesondere die sogenannten Initial Access Broker (IABs). Diese machen regelmäßig mit Aktivitäten auf sich aufmerksam, die der Verbreitung von Ransomware dienen. Cybersecurity-Verantwortliche sollten sich mit dieser neuen Malware und den neuesten Aktivitäten rund um deren Verbreitung vertraut machen und Maßnahmen ergreifen, um ihre Organisationen vor einer Infektion zu schützen.“

Experts from Proofpoint have uncovered a new malware, which they have christened „WikiLoader“. The experts first observed the new malware when it was spread by TA544 (Threat Actor 544), a group of cybercriminals that usually uses Ursnif malware in their attacks to attack companies, primarily in Italy. Subsequently, Proofpoint was able to observe other cyber campaigns.

WikiLoader is a sophisticated downloader used to install another malware payload. The newly discovered malware includes notable obfuscation techniques and custom code implementations that are designed to make detection and analysis by cyber forensics professionals more difficult. The developers are also believed to already be renting WikiLoader to select cybercriminal actors.

Based on its observations, Proofpoint believes this malware is also being used by other cybercriminal groups, particularly those acting as initial access brokers (IABs).

Campaigns with WikiLoader

Proofpoint experts have uncovered at least eight campaigns spreading WikiLoader since December 2022. The cyber campaigns started with emails containing either Microsoft Excel attachments, Microsoft OneNote attachments, or PDF attachments. In the process, WikiLoader was not only distributed by TA544, but also by at least one other group, TA551. Both criminal actors focused their main attention on Italy. While most cybercriminals have moved away from macro-based documents as a vehicle for malware distribution, TA544 continues to use them in their attack chains, including to spread WikiLoader.

The most notable WikiLoader campaigns were observed by Proofpoint experts on December 27, 2022, February 8, 2023, and July 11, 2023. In these cases, WikiLoader was observed as a follow-up payload after the installation of Ursnif.

„WikiLoader is a sophisticated new malware that has recently emerged in the cybercrime landscape and has so far been primarily associated with campaigns to spread Ursnif. It is currently under active development, and its authors appear to be making regular changes to continue to go undetected and evade common defenses,“ said Selena Larson, senior threat intelligence analyst at Proofpoint. „It stands to reason that more cybercriminal groups will leverage this malware in the foreseeable future, particularly the so-called initial access brokers (IABs). These regularly draw attention to themselves with activities designed to spread ransomware. Cybersecurity executives should familiarize themselves with this new malware and the latest activities surrounding its spread, and take steps to protect their organizations from infection.“

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner