„WikiLoader“ kenkėjiška programa, kurią įdiegė TA544 Threat Actor

Tyrėjai pranešė, kad kenkėjiškų programų parsisiuntimo programa mėgdžioja įvairias Italijos organizacijas, tokias kaip mokesčių agentūra, siekdama pristatyti bankinį Trojos arklį tikslinėms Italijos įmonėms. Atsisiuntimo programa, kurią Proofpoint pavadino „WikiLoader“, naudoja keletą taktikų, kad išvengtų aptikimo. Manoma, kad už jo esanti grupuotė, žinoma kaip TA544, yra finansiškai motyvuota ir gali ketinti išnuomoti „WikiLoader“ kitiems kibernetiniams nusikaltėliams. Galiausiai šis krautuvas veda prie Ursnif bankininkystės Trojos arklys, kurį mėgsta TA544.

Tyrėjų teigimu, pavadinimas „WikiLoader“ kilo dėl kenkėjiškos programos elgesio siunčiant užklausą į Vikipediją ir tikrinant, ar atsakyme yra eilutė „The Free“.

„WikiLoader“ plinta per kenkėjiškus dokumentų priedus

Nuo 2022 m. gruodžio mėn. „Proofpoint“ stebėjo mažiausiai aštuonias kampanijas, platinančias „WikiLoader“. Šios kampanijos prasidėjo nuo el. laiškų su priedais Microsoft Excel, OneNote arba įprastų PDF failų forma. Nustatyta, kad „WikiLoader“ platino du grėsmės veikėjai – TA544 ir TA551, abu orientuoti į Italiją. Nors įsilaužėliai dėl „Microsoft“ saugumo pastangų atsisakė naudoti kenkėjiškus „Microsoft Office“ makrokomandomis įrištus priedus, TA544 ir toliau juos naudoja savo atakų grandinėse.

„Microsoft Excel“ prieduose buvo naudojamos būdingos VBA makrokomandos. Įjungus šias makrokomandas, būtų atsisiunčiama ir vykdoma WikiLoader – anksčiau nežinoma parsisiuntimo programa, kurią Proofpoint aptiko per kampaniją, priskirtą TA544. VBA reiškia „Visual Basic for Applications“ programavimo kalbą, integruotą į „Office“ rinkinį.

Atrodo, kad WikiLoader autoriai reguliariai atnaujina kenkėjišką programą, kad išvengtų aptikimo ir liktų po radaru. Atsižvelgiant į jo galimybes, tikėtina, kad daugiau kibernetinių nusikaltėlių, ypač žinomų kaip pradinės prieigos brokeriai, naudosis šiuo parsisiuntimo įrenginiu, kuris gali sukelti išpirkos reikalaujančių programų atakas, teigia Selena Larson, vyresnioji „Proofpoint“ grėsmių žvalgybos analitikė.

Ursnif kenkėjiškos programos šaltinio kodas nutekėjo internete 2015 m., todėl užpuolikai galėjo sukurti pritaikytas ir sunkiau aptinkamas Trojos arklys. „Ursnif“, taip pat žinomas kaip „DreamBot“ ir „Gozi ISFB“, konkrečiai taikosi į bankų ir finansų sektorius, vagia slaptažodžius ir kredencialus iš aukų.

Vasario mėn. TA544 pradėjo kampaniją naudodama atnaujintą „WikiLoader“ versiją, apsimesdama Italijos kurjerių tarnyba. Ši versija buvo sudėtingesnė, joje buvo naudojami papildomi sustabdymo mechanizmai, siekiant išvengti automatizuotos analizės, ir naudojamos užkoduotos eilutės.

Siekdami apsisaugoti nuo šių grėsmių, Proofpoint mokslininkai rekomenduoja organizacijoms pagal numatytuosius nustatymus išjungti makrokomandas visiems darbuotojams ir blokuoti įterptųjų išorinių failų vykdymą OneNote dokumentuose.