Malware WikiLoader implementado por el actor de amenazas TA544

Los investigadores informaron que un descargador de malware está imitando a varias organizaciones italianas, como la agencia tributaria, para entregar un troyano bancario dirigido a empresas italianas. El descargador, denominado "WikiLoader" por Proofpoint, emplea varias tácticas para evitar la detección. Se cree que el grupo detrás de esto, conocido como TA544, tiene una motivación financiera y puede tener la intención de alquilar WikiLoader a otros ciberdelincuentes. En última instancia, este cargador conduce al troyano bancario Ursnif, una de las opciones favoritas de TA544.

El nombre "WikiLoader" se deriva del comportamiento del malware de enviar una solicitud a Wikipedia y verificar la presencia de la cadena "The Free" en la respuesta, según lo declarado por los investigadores.

WikiLoader se propaga a través de documentos adjuntos maliciosos

Desde diciembre de 2022, Proofpoint ha observado al menos ocho campañas que distribuyen WikiLoader. Estas campañas comenzaron con correos electrónicos que contenían archivos adjuntos en forma de Microsoft Excel, OneNote o archivos PDF normales. Se descubrió que WikiLoader estaba distribuido por dos actores de amenazas, TA544 y TA551, ambos centrados en Italia. Aunque los piratas informáticos han dejado de usar archivos adjuntos maliciosos con macros de Microsoft Office debido a los esfuerzos de seguridad de Microsoft, TA544 continúa usándolos en sus cadenas de ataque.

Los archivos adjuntos de Microsoft Excel usaban macros VBA características. Habilitar estas macros activaría la descarga y ejecución de WikiLoader, un descargador previamente desconocido descubierto por Proofpoint durante la campaña atribuida a TA544. VBA se refiere al lenguaje de programación Visual Basic para aplicaciones integrado en la suite de Office.

Los autores de WikiLoader parecen actualizar regularmente el malware para evadir la detección y pasar desapercibidos. Dadas sus capacidades, es probable que más ciberdelincuentes, especialmente aquellos conocidos como intermediarios de acceso inicial, utilicen este descargador, lo que podría provocar ataques de ransomware, según Selena Larson, analista sénior de inteligencia de amenazas de Proofpoint.

El código fuente del malware Ursnif se filtró en línea en 2015, lo que permitió a los atacantes desarrollar versiones personalizadas y más difíciles de detectar del troyano. Ursnif, también conocido como DreamBot y Gozi ISFB, apunta específicamente a los sectores bancario y financiero, robando contraseñas y credenciales de las víctimas.

En febrero, TA544 lanzó una campaña utilizando una versión actualizada de WikiLoader, haciéndose pasar por un servicio de mensajería italiano. Esta versión era más sofisticada, empleaba mecanismos de bloqueo adicionales para evadir el análisis automatizado y usaba cadenas codificadas.

Para protegerse contra estas amenazas, los investigadores de Proofpoint recomiendan a las organizaciones que desactiven las macros de forma predeterminada para todos los empleados y que bloqueen la ejecución de archivos externos incrustados en los documentos de OneNote.