Logiciel malveillant WikiLoader déployé par l'acteur de menace TA544

Des chercheurs ont signalé qu'un téléchargeur de logiciels malveillants imitait diverses organisations italiennes, telles que l'administration fiscale, afin de fournir un cheval de Troie bancaire aux entreprises italiennes ciblées. Le téléchargeur, surnommé "WikiLoader" par Proofpoint, utilise plusieurs tactiques pour éviter la détection. Le groupe derrière lui, connu sous le nom de TA544, serait financièrement motivé et pourrait avoir l'intention de louer WikiLoader à d'autres cybercriminels. En fin de compte, ce chargeur mène au cheval de Troie bancaire Ursnif, un choix privilégié par TA544.

Le nom "WikiLoader" dérive du comportement du malware consistant à envoyer une requête à Wikipédia et à vérifier la présence de la chaîne "The Free" dans la réponse, comme l'ont indiqué les chercheurs.

WikiLoader se propage à travers des pièces jointes malveillantes

Depuis décembre 2022, Proofpoint a observé au moins huit campagnes distribuant WikiLoader. Ces campagnes ont commencé par des e-mails contenant des pièces jointes sous forme de fichiers Microsoft Excel, OneNote ou PDF standard. WikiLoader s'est avéré être distribué par deux acteurs de la menace, TA544 et TA551, tous deux se concentrant sur l'Italie. Bien que les pirates aient cessé d'utiliser des pièces jointes malveillantes à base de macros Microsoft Office en raison des efforts de sécurité de Microsoft, TA544 continue de les utiliser dans ses chaînes d'attaque.

Les pièces jointes Microsoft Excel utilisaient des macros VBA caractéristiques. L'activation de ces macros déclencherait le téléchargement et l'exécution de WikiLoader, un téléchargeur jusque-là inconnu découvert par Proofpoint lors de la campagne attribuée à TA544. VBA fait référence au langage de programmation Visual Basic pour Applications intégré à la suite Office.

Les auteurs de WikiLoader semblent régulièrement mettre à jour le malware pour échapper à la détection et rester sous le radar. Compte tenu de ses capacités, il est probable que davantage de cybercriminels, en particulier ceux connus sous le nom de courtiers d'accès initiaux, utiliseront ce téléchargeur, ce qui pourrait conduire à des attaques de rançongiciels, selon Selena Larson, analyste principale du renseignement sur les menaces chez Proofpoint.

Le code source du logiciel malveillant Ursnif a été divulgué en ligne en 2015, permettant aux attaquants de développer des versions personnalisées et plus difficiles à détecter du cheval de Troie. Ursnif, également connu sous le nom de DreamBot et Gozi ISFB, cible spécifiquement les secteurs bancaire et financier, en volant les mots de passe et les informations d'identification des victimes.

En février, TA544 a lancé une campagne utilisant une version mise à jour de WikiLoader, se faisant passer pour un service de messagerie italien. Cette version était plus sophistiquée, employant des mécanismes de blocage supplémentaires pour échapper à l'analyse automatisée et utilisant des chaînes codées.

Pour se protéger contre ces menaces, les chercheurs de Proofpoint recommandent aux organisations de désactiver les macros par défaut pour tous les employés et de bloquer l'exécution des fichiers externes intégrés dans les documents OneNote.