Proofpoint ha identificado un nuevo malware que ha denominado como WikiLoader. Se trata de un sofisticado software de descarga cuyo objetivo es instalar una segunda payload de malware. Su característica más destacable es que contiene técnicas de evasión e implementación personalizadas de código diseñadas para dificultar su detección y análisis.
WikiLoader fue observado por primera vez en diciembre de 2022 siendo usado por el grupo de ciberdelincuentes TA554, que es conocido por utilizar habitualmente el malware Ursnif para atacar a organizaciones italianas. Desde entonces, el malware ha sido usado por múltiples atacantes en al menos ocho campañas. Al principio, estos ataques se basaban en el envío de correos electrónicos con archivos adjuntos de Microsoft Excel, Microsoft OneNote o PDF, pero en la actualidad casi todos los ciberdelincuentes han abandonado los documentos con macros como método de distribución de malware.
Hasta ahora, sólo se ha observado que este malware distribuya Ursnif como payload de segunda fase. Sin embargo, dado su uso por múltiples delincuentes, es posible que en el futuro se use para entregar otras payloads diferentes. Se trata de un malware en rápido desarrollo que los ciberdelincuentes están intentando hacer más complicado, provocando que la payload sea todavía más difícil de recuperar. Proofpoint ve probable incluso que WikiLoader se haya desarrollado como un malware que pueda alquilarse o venderse a diferentes ciberdelincuentes, y anticipa que será utilizado por más grupos, especialmente aquellos que operan como intermediarios de acceso inicial.
WikiLoader se distribuye a través de documentos habilitados con macros, PDFs que contienen URLs que conducen a una payload de JavaScript y archivos de OneNote con ejecutables incrustados. Por lo tanto, se requiere la interacción del usuario para iniciar su instalación. Para evitar este ciberataque, Proofpoint recomienda a las empresas que se aseguren de que las macros están desactivadas por defecto para todos los empleados, bloquear la ejecución de archivos externos incrustados dentro de los documentos de OneNote y garantizar que los archivos JavaScript se abren por defecto en un bloc de notas o aplicación similar.
“WikiLoader es un nuevo y sofisticado malware que ha aparecido recientemente en el panorama de ciberamenazas y que hasta ahora estaba asociado a campañas de distribución de Ursnif. Actualmente está en desarrollo activo, y sus autores parecen hacer cambios regularmente para tratar de pasar desapercibidos. Es probable que más ciberdelincuentes lo utilicen, por lo que los usuarios deben ser conscientes de este nuevo malware y de las acciones implicadas en la entrega de la payload, así como de tomar medidas para proteger a sus organizaciones”, explican desde el equipo de investigación de amenazas de Proofpoint.
