Malware WikiLoader distribuito da TA544 Threat Actor

I ricercatori hanno riferito che un downloader di malware sta imitando varie organizzazioni italiane, come l'agenzia delle entrate, al fine di fornire un trojan bancario per colpire le aziende italiane. Il downloader, soprannominato "WikiLoader" da Proofpoint, impiega diverse tattiche per evitare il rilevamento. Si ritiene che il gruppo dietro di esso, noto come TA544, sia finanziariamente motivato e potrebbe voler affittare WikiLoader ad altri criminali informatici. Alla fine, questo caricatore porta al trojan bancario Ursnif, una scelta favorita da TA544.

Il nome "WikiLoader" deriva dal comportamento del malware di inviare una richiesta a Wikipedia e verificare la presenza della stringa "The Free" nella risposta, come affermato dai ricercatori.

WikiLoader si diffonde tramite allegati di documenti dannosi

Da dicembre 2022, Proofpoint ha osservato almeno otto campagne che distribuiscono WikiLoader. Queste campagne sono iniziate con e-mail contenenti allegati in formato Microsoft Excel, OneNote o normali file PDF. Si è scoperto che WikiLoader è distribuito da due attori delle minacce, TA544 e TA551, entrambi concentrati sull'Italia. Sebbene gli hacker si siano allontanati dall'utilizzo di allegati dannosi con macro di Microsoft Office a causa degli sforzi di sicurezza di Microsoft, TA544 continua a utilizzarli nelle sue catene di attacco.

Gli allegati di Microsoft Excel utilizzavano macro VBA caratteristiche. L'abilitazione di queste macro attiverebbe il download e l'esecuzione di WikiLoader, un downloader precedentemente sconosciuto scoperto da Proofpoint durante la campagna attribuita a TA544. VBA si riferisce al linguaggio di programmazione Visual Basic for Applications integrato nella suite Office.

Gli autori di WikiLoader sembrano aggiornare regolarmente il malware per eludere il rilevamento e rimanere sotto il radar. Date le sue capacità, è probabile che più criminali informatici, in particolare quelli noti come broker di accesso iniziale, utilizzino questo downloader, portando potenzialmente ad attacchi ransomware, secondo Selena Larson, analista senior di Threat Intelligence presso Proofpoint.

Il codice sorgente del malware Ursnif è trapelato online nel 2015, consentendo agli aggressori di sviluppare versioni personalizzate e più difficili da rilevare del trojan. Ursnif, noto anche come DreamBot e Gozi ISFB, prende di mira specificamente i settori bancario e finanziario, rubando password e credenziali alle vittime.

A febbraio, TA544 ha lanciato una campagna utilizzando una versione aggiornata di WikiLoader, spacciandosi per un corriere italiano. Questa versione era più sofisticata, utilizzava meccanismi di stallo aggiuntivi per eludere l'analisi automatizzata e utilizzava stringhe codificate.

Per proteggersi da queste minacce, i ricercatori di Proofpoint raccomandano alle organizzazioni di disabilitare le macro per impostazione predefinita per tutti i dipendenti e bloccare l'esecuzione di file esterni incorporati all'interno dei documenti OneNote.