WikiLoader Malware implementeret af TA544 Threat Actor

Forskere har rapporteret, at en malware-downloader efterligner forskellige italienske organisationer, såsom skatteagenturet, for at levere en banktrojaner til at målrette italienske virksomheder. Downloaderen, kaldet "WikiLoader" af Proofpoint, anvender flere taktikker for at undgå opdagelse. Gruppen bag, kendt som TA544, menes at være økonomisk motiveret og kan have til hensigt at leje WikiLoader til andre cyberkriminelle. I sidste ende fører denne loader til Ursnif banking Trojan, et foretrukket valg af TA544.

Navnet "WikiLoader" stammer fra malwarens adfærd med at sende en anmodning til Wikipedia og tjekke for tilstedeværelsen af strengen "The Free" i svaret, som angivet af forskerne.

WikiLoader spredes gennem ondsindede vedhæftede dokumenter

Siden december 2022 har Proofpoint observeret mindst otte kampagner, der distribuerer WikiLoader. Disse kampagner begyndte med e-mails, der indeholdt vedhæftede filer i form af Microsoft Excel, OneNote eller almindelige PDF-filer. WikiLoader viste sig at blive distribueret af to trusselsaktører, TA544 og TA551, hvor begge fokuserede på Italien. Selvom hackere er gået væk fra at bruge ondsindede Microsoft Office-makro-snøret vedhæftede filer på grund af Microsofts sikkerhedsindsats, fortsætter TA544 med at bruge dem i sine angrebskæder.

Microsoft Excel-vedhæftninger brugte karakteristiske VBA-makroer. Aktivering af disse makroer vil udløse download og eksekvering af WikiLoader, en hidtil ukendt downloader opdaget af Proofpoint under kampagnen tilskrevet TA544. VBA refererer til Visual Basic for Applications-programmeringssproget integreret i Office-pakken.

Forfatterne af WikiLoader ser ud til regelmæssigt at opdatere malwaren for at undgå opdagelse og forblive under radaren. I betragtning af dets muligheder er det sandsynligt, at flere cyberkriminelle, især dem, der er kendt som initial access brokers, vil bruge denne downloader, hvilket potentielt kan føre til ransomware-angreb, ifølge Selena Larson, senior trusselintelligensanalytiker hos Proofpoint.

Ursnif-malwarens kildekode lækket online i 2015, hvilket gjorde det muligt for angribere at udvikle tilpassede og sværere at opdage versioner af trojaneren. Ursnif, også kendt som DreamBot og Gozi ISFB, retter sig specifikt mod bank- og finanssektoren og stjæler adgangskoder og legitimationsoplysninger fra ofre.

I februar lancerede TA544 en kampagne ved hjælp af en opdateret version af WikiLoader, der udgav sig for at være en italiensk kurertjeneste. Denne version var mere sofistikeret, idet den anvendte yderligere stalling-mekanismer for at undgå automatiseret analyse og ved at bruge kodede strenge.

For at beskytte mod disse trusler anbefaler Proofpoint-forskere organisationer at deaktivere makroer som standard for alle medarbejdere og blokere udførelsen af indlejrede eksterne filer i OneNote-dokumenter.