Identificado un malware con técnicas de evasión avanzadas: WikiLoader

El especialista en seguridad y cumplimiento normativo Proofpoint ha identificado un nuevo malware que ha denominado como WikiLoader. Se trata de un sofisticado software de descarga cuyo objetivo es instalar una segunda payload de malware.

Su característica más destacable, según la firma, es que contiene técnicas de evasión e implementación personalizadas de código diseñadas para dificultar su detección y análisis.

WikiLoader fue observado por primera vez en diciembre de 2022 y lo empleaba el grupo de ciberdelincuentes TA554, que es conocido por utilizar habitualmente el malware Ursnif para atacar a organizaciones italianas. Desde entonces, el malware ha sido usado por múltiples atacantes en al menos ocho campañas. Al principio, estos ataques se basaban en el envío de correos electrónicos con archivos adjuntos de Microsoft Excel, Microsoft OneNote o PDF, pero en la actualidad casi todos los ciberdelincuentes han abandonado los documentos con macros como método de distribución de malware.

Hasta ahora, sólo se ha observado que este malware distribuya Ursnif como payload de segunda fase. Sin embargo, dado su uso por múltiples delincuentes, es posible que en el futuro se use para entregar otras payloads diferentes. Se trata de un malware en rápido desarrollo que los ciberdelincuentes están intentando hacer más complicado, provocando que la payload sea todavía más difícil de recuperar. 

Proofpoint ve probable incluso que WikiLoader se haya desarrollado como un malware que pueda alquilarse o venderse a diferentes ciberdelincuentes, y anticipa que será utilizado por más grupos, especialmente aquellos que operan como intermediarios de acceso inicial.

El nuevo malware se distribuye a través de documentos habilitados con macros, PDFs que contienen URLs que conducen a una payload de JavaScript y archivos de OneNote con ejecutables incrustados. Por lo tanto, se requiere la interacción del usuario para iniciar su instalación. Para evitar este ciberataque, Proofpoint recomienda a las organizaciones que se aseguren de que las macros están desactivadas por defecto para todos los empleados, bloquear la ejecución de archivos externos incrustados dentro de los documentos de OneNote y garantizar que los archivos JavaScript se abren por defecto en un bloc de notas o aplicación similar.