WikiLoader-Malware, bereitgestellt vom Bedrohungsakteur TA544

Forscher haben berichtet, dass ein Malware-Downloader verschiedene italienische Organisationen, beispielsweise die Steuerbehörde, nachahmt, um einen Banking-Trojaner gezielt an italienische Unternehmen auszuliefern. Der Downloader, von Proofpoint „WikiLoader“ genannt, nutzt mehrere Taktiken, um einer Entdeckung zu entgehen. Die Gruppe dahinter, bekannt als TA544, soll finanziell motiviert sein und möglicherweise beabsichtigen, WikiLoader an andere Cyberkriminelle zu vermieten. Letztendlich führt dieser Loader zum Ursnif-Banking-Trojaner, einer bevorzugten Wahl von TA544.

Der Name „WikiLoader“ leitet sich vom Verhalten der Malware ab, eine Anfrage an Wikipedia zu senden und zu prüfen, ob in der Antwort die Zeichenfolge „The Free“ vorhanden ist, wie die Forscher angeben.

WikiLoader verbreitet sich über schädliche Dokumentanhänge

Seit Dezember 2022 hat Proofpoint mindestens acht Kampagnen zur Verbreitung von WikiLoader beobachtet. Diese Kampagnen begannen mit E-Mails, die Anhänge in Form von Microsoft Excel-, OneNote- oder regulären PDF-Dateien enthielten. Es wurde festgestellt, dass WikiLoader von zwei Bedrohungsakteuren, TA544 und TA551, verbreitet wird, wobei sich beide auf Italien konzentrieren. Obwohl Hacker aufgrund der Sicherheitsbemühungen von Microsoft davon abgerückt sind, bösartige Microsoft Office-Anhänge mit Makros zu verwenden, verwendet TA544 sie weiterhin in seinen Angriffsketten.

Die Microsoft Excel-Anhänge verwendeten charakteristische VBA-Makros. Die Aktivierung dieser Makros würde den Download und die Ausführung von WikiLoader auslösen, einem bisher unbekannten Downloader, der von Proofpoint während der TA544 zugeschriebenen Kampagne entdeckt wurde. VBA bezieht sich auf die in die Office-Suite integrierte Programmiersprache Visual Basic für Applikationen.

Die Autoren von WikiLoader scheinen die Malware regelmäßig zu aktualisieren, um einer Entdeckung zu entgehen und unter dem Radar zu bleiben. Angesichts seiner Fähigkeiten ist es wahrscheinlich, dass mehr Cyberkriminelle, insbesondere solche, die als „Initial Access Broker“ bekannt sind, diesen Downloader nutzen werden, was möglicherweise zu Ransomware-Angriffen führen wird, so Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint.

Der Quellcode der Ursnif-Malware ist 2015 online durchgesickert und ermöglichte es Angreifern, angepasste und schwerer zu erkennende Versionen des Trojaners zu entwickeln. Ursnif, auch bekannt als DreamBot und Gozi ISFB, zielt speziell auf den Banken- und Finanzsektor ab und stiehlt Passwörter und Anmeldeinformationen von Opfern.

Im Februar startete TA544 eine Kampagne mit einer aktualisierten Version von WikiLoader und gab sich als italienischer Kurierdienst aus. Diese Version war ausgefeilter und nutzte zusätzliche Verzögerungsmechanismen, um einer automatisierten Analyse zu entgehen, und verwendete codierte Zeichenfolgen.

Um sich vor diesen Bedrohungen zu schützen, empfehlen Proofpoint-Forscher Unternehmen, Makros standardmäßig für alle Mitarbeiter zu deaktivieren und die Ausführung eingebetteter externer Dateien in OneNote-Dokumenten zu blockieren.