Κακόβουλο λογισμικό WikiLoader που αναπτύχθηκε από το TA544 Threat Actor

Ερευνητές ανέφεραν ότι ένα πρόγραμμα λήψης κακόβουλου λογισμικού μιμείται διάφορους ιταλικούς οργανισμούς, όπως η φορολογική υπηρεσία, προκειμένου να παραδώσει ένα τραπεζικό Trojan για να στοχεύσει ιταλικές εταιρείες. Το πρόγραμμα λήψης, που ονομάστηκε "WikiLoader" από την Proofpoint, χρησιμοποιεί διάφορες τακτικές για να αποφύγει τον εντοπισμό. Η ομάδα πίσω από αυτό, γνωστή ως TA544, πιστεύεται ότι έχει οικονομικά κίνητρα και μπορεί να σκοπεύει να νοικιάσει το WikiLoader σε άλλους εγκληματίες στον κυβερνοχώρο. Τελικά, αυτός ο φορτωτής οδηγεί στον τραπεζικό Trojan Ursnif, μια προτιμώμενη επιλογή από τον TA544.

Το όνομα "WikiLoader" προέρχεται από τη συμπεριφορά του κακόβουλου λογισμικού να στέλνει ένα αίτημα στη Wikipedia και να ελέγχει την παρουσία της συμβολοσειράς "The Free" στην απάντηση, όπως δήλωσαν οι ερευνητές.

Το WikiLoader διαδίδεται μέσω κακόβουλων συνημμένων εγγράφων

Από τον Δεκέμβριο του 2022, η Proofpoint έχει παρατηρήσει τουλάχιστον οκτώ καμπάνιες που διανέμουν το WikiLoader. Αυτές οι καμπάνιες ξεκίνησαν με μηνύματα ηλεκτρονικού ταχυδρομείου που περιείχαν συνημμένα με τη μορφή Microsoft Excel, OneNote ή κανονικών αρχείων PDF. Διαπιστώθηκε ότι το WikiLoader διανέμεται από δύο παράγοντες απειλής, τον TA544 και τον TA551, με αμφότερους να επικεντρώνονται στην Ιταλία. Αν και οι χάκερ έχουν απομακρυνθεί από τη χρήση κακόβουλων συνημμένων με μακροεντολές του Microsoft Office λόγω των προσπαθειών ασφαλείας της Microsoft, το TA544 συνεχίζει να τα χρησιμοποιεί στις αλυσίδες επιθέσεων του.

Τα συνημμένα του Microsoft Excel χρησιμοποιούσαν χαρακτηριστικές μακροεντολές VBA. Η ενεργοποίηση αυτών των μακροεντολών θα ενεργοποιούσε τη λήψη και την εκτέλεση του WikiLoader, ενός προηγουμένως άγνωστου προγράμματος λήψης που ανακαλύφθηκε από την Proofpoint κατά τη διάρκεια της καμπάνιας που αποδόθηκε στο TA544. Το VBA αναφέρεται στη γλώσσα προγραμματισμού της Visual Basic for Applications που είναι ενσωματωμένη στη σουίτα του Office.

Οι συντάκτες του WikiLoader φαίνεται να ενημερώνουν τακτικά το κακόβουλο λογισμικό για να αποφύγουν τον εντοπισμό και να παραμείνουν κάτω από το ραντάρ. Δεδομένων των δυνατοτήτων του, είναι πιθανό ότι περισσότεροι εγκληματίες του κυβερνοχώρου, ειδικά εκείνοι που είναι γνωστοί ως μεσίτες αρχικής πρόσβασης, θα χρησιμοποιήσουν αυτό το πρόγραμμα λήψης, γεγονός που ενδεχομένως να οδηγήσει σε επιθέσεις ransomware, σύμφωνα με τη Selena Larson, ανώτερη αναλύτρια πληροφοριών απειλών στο Proofpoint.

Ο πηγαίος κώδικας του κακόβουλου λογισμικού Ursnif διέρρευσε στο διαδίκτυο το 2015, επιτρέποντας στους εισβολείς να αναπτύξουν προσαρμοσμένες και πιο δύσκολα ανιχνεύσιμες εκδόσεις του Trojan. Το Ursnif, γνωστό και ως DreamBot και Gozi ISFB, στοχεύει συγκεκριμένα τον τραπεζικό και τον χρηματοπιστωτικό τομέα, κλέβοντας κωδικούς πρόσβασης και διαπιστευτήρια από τα θύματα.

Τον Φεβρουάριο, το TA544 ξεκίνησε μια καμπάνια χρησιμοποιώντας μια ενημερωμένη έκδοση του WikiLoader, προσποιούμενη ότι είναι μια ιταλική υπηρεσία ταχυμεταφορών. Αυτή η έκδοση ήταν πιο εξελιγμένη, χρησιμοποιώντας πρόσθετους μηχανισμούς αναστολής για να αποφύγει την αυτοματοποιημένη ανάλυση και χρησιμοποιώντας κωδικοποιημένες συμβολοσειρές.

Για την προστασία από αυτές τις απειλές, οι ερευνητές του Proofpoint συνιστούν στους οργανισμούς να απενεργοποιούν τις μακροεντολές από προεπιλογή για όλους τους υπαλλήλους και να αποκλείουν την εκτέλεση ενσωματωμένων εξωτερικών αρχείων στα έγγραφα του OneNote.