Les principales conclusions de cette recherche sont les suivantes :

• Identifié pour la première fois en décembre 2022, WikiLoarder est utilisé par l’acteur de la menace TA544, qui cible habituellement les entreprises italiennes. Proofpoint a depuis observé le logiciel malveillant dans de multiples campagnes.
• Il s’agit d’un logiciel de téléchargement sophistiqué, dont l’objectif est d’installer une deuxième charge utile dans l’appareil infecté.
• Pour cela, il utilise une multitude de mécanismes pour échapper au système de détection et semble avoir été développé comme un logiciel malveillant destiné à être loué à des cybercriminels triés sur le volet.
• Les chercheurs Proofpoint l’ont baptisé WikiLoader car il envoie une requête à Wikipédia et vérifie que la réponse contient la chaîne de caractères "The Free".

« WikiLoader est un nouveau logiciel malveillant sophistiqué, qui a récemment fait surface dans le paysage des menaces cybercriminelles. Associé jusqu’à présent à des campagnes Ursnif, il fait actuellement l’objet d’un développement actif et ses auteurs semblent y apporter des modifications régulières afin de rester hors radars. Il y a fort à parier que davantage de cybercriminels se mettent à l’utiliser, en particulier les acteurs de type IAB (Initial Access Brokers), qui mènent régulièrement des activités menant à des ransomwares. Les équipes de sécurité en charge doivent être conscientes de l’existence de ce logiciel et des activités qui lui sont associées dans la livraison de la charge utile afin de prendre les mesures de protection nécessaire pour leur organisation », précise Selena Larson, Senior Threat Researcher chez Proofpoint.