Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVO DOWNLOADER DENOMINADO WIKILOADER

05/10/2023

NUEVO DOWNLOADER DENOMINADO WIKILOADER
El equipo del Csirt ha observado un nuevo downloader denominado WikiLoader que ha sido detectado en varias campañas dirigidas específicamente a organizaciones financieras en Italia. Este está relacionado al actor de amenaza (TA) conocido como TA544.

Descripción

Inicialmente se observó la presencia del actor TA544 en Italia el cual está activo desde febrero del 2017 cuyo enfoque está dirigido al sector financiero, y desde entonces, se ha extendido a otros países como España, Polonia, Alemania y Japón. En dichas campañas, se han utilizado una amplia variedad de software malicioso, algunos identificados como Chthonic, Smoke Loader, Nymaim, ZLoader y URLZone y el troyano Ursnif.

En estas campañas identificadas, se han observado varias cadenas de ataque de WikiLoader, donde implementan correos maliciosos y adjuntan archivos Excel maliciosos que contienen macros VBA, una vez habilitadas se realiza la descarga y ejecución de WikiLoader; la segunda cadena de ataque fue una versión actualizada de WikiLoader que contenía estructura más complejas, mecanismos de bloqueo adicionales utilizados en un intento de evadir el análisis automatizado y el uso de cadenas codificadas, utilizando el mismo método de distribución que la anterior, sin embargo, al habilitar la macro VBA, conde al usuario a la instalación de WikiLoader, que posteriormente descargó el troyano Ursnif.

Vector de infección

Esta amenaza se distribuye principalmente mediante correos electrónicos de tipo phishing, donde los actores de amenaza implementan técnicas de persuasión para que las víctimas realicen la descarga de los archivos Microsoft Excel adjuntos los cuales contienen macros maliciosas, una vez son ejecutadas se realiza la descarga del downloader, además de archivos PDF que contiene enlaces adjuntos los cuales conducen a la descarga de esta amenaza y también por medio de archivos de OneNote con un archivo CMD oculto que se encarga de realizar la descarga de WikiLoader.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Mantener el software actualizado, educar a los empleados sobre la ciberseguridad y emplear soluciones de seguridad adecuadas son pasos cruciales para mitigar el riesgo de infección por malware, además de mantener sus equipos y dispositivos actualizados con los últimos parches de seguridad con el fin de evitar accesos no autorizados ocasionados por vulnerabilidades.
  • Monitorear el tráfico entrante y saliente para detectar posibles conexiones inusuales y que puedan estar siendo utilizadas para exfiltrar información.

Leer noticia: https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion