A TA544 Threat Actor által telepített WikiLoader rosszindulatú program

A kutatók arról számoltak be, hogy egy rosszindulatú program letöltő különféle olasz szervezeteket, például az adóhivatalt utánozza, hogy egy banki trójai programot szállítson az olasz cégeknek. A Proofpoint által "WikiLoader"-nek nevezett letöltő többféle taktikát alkalmaz az észlelés elkerülésére. A mögötte álló csoport, a TA544 feltehetően anyagilag motivált, és szándékában áll bérbe adni a WikiLoader-t más kiberbűnözőknek. Végül ez a betöltő az Ursnif banki trójaihoz vezet, amelyet a TA544 kedvelt.

A "WikiLoader" név a kártevő viselkedéséből ered, amikor kérést küld a Wikipédiának, és ellenőrzi a "The Free" karakterlánc jelenlétét a válaszban, ahogy azt a kutatók állítják.

A WikiLoader rosszindulatú dokumentummellékleteken keresztül terjed

2022 decembere óta a Proofpoint legalább nyolc kampányt figyelt meg, amelyek WikiLoadert terjesztenek. Ezek a kampányok Microsoft Excel, OneNote vagy normál PDF formátumú mellékleteket tartalmazó e-mailekkel kezdődtek. A WikiLoaderről kiderült, hogy két fenyegető szereplő, a TA544 és a TA551 terjesztette, és mindkettő Olaszországra összpontosít. Bár a hackerek a Microsoft biztonsági erőfeszítései miatt eltávolodtak a rosszindulatú Microsoft Office makrókkal ellátott mellékletek használatától, a TA544 továbbra is használja ezeket a támadási láncokban.

A Microsoft Excel mellékletei jellegzetes VBA makrókat használtak. Ezen makrók engedélyezése elindítja a WikiLoader letöltését és végrehajtását, egy korábban ismeretlen letöltőt, amelyet a Proofpoint fedezett fel a TA544-nek tulajdonított kampány során. A VBA az Office csomagba integrált Visual Basic for Applications programozási nyelvre utal.

Úgy tűnik, hogy a WikiLoader szerzői rendszeresen frissítik a kártevőt, hogy elkerüljék az észlelést és a radar alatt maradjanak. Selena Larson, a Proofpoint vezető fenyegetés-intelligencia elemzője szerint a képességeit tekintve valószínű, hogy több kiberbűnözők, különösen a kezdeti hozzáférési közvetítőkként ismertek fogják használni ezt a letöltőt, ami ransomware támadásokhoz vezethet.

Az Ursnif kártevő forráskódja 2015-ben szivárgott ki az internetre, így a támadók testreszabott és nehezebben észlelhető trójai verziókat fejlesztettek ki. Az Ursnif, más néven DreamBot és Gozi ISFB, kifejezetten a banki és pénzügyi szektort célozza meg, jelszavakat és hitelesítő adatokat lopva az áldozatoktól.

Februárban a TA544 kampányt indított a WikiLoader frissített verziójával, kiadva magát egy olasz futárszolgálatnak. Ez a verzió kifinomultabb volt, további leállási mechanizmusokat alkalmazott az automatizált elemzés elkerülése érdekében, és kódolt karakterláncokat használt.

A fenyegetésekkel szembeni védelem érdekében a Proofpoint kutatói azt javasolják a szervezeteknek, hogy alapértelmezés szerint tiltsák le a makrókat minden alkalmazottnál, és blokkolják a beágyazott külső fájlok végrehajtását a OneNote-dokumentumokban.