WikiLoader Malware distribuert av TA544 Threat Actor

Forskere har rapportert at en malware-nedlaster imiterer forskjellige italienske organisasjoner, for eksempel skattebyrået, for å levere en banktrojaner for å målrette italienske selskaper. Nedlasteren, kalt "WikiLoader" av Proofpoint, bruker flere taktikker for å unngå oppdagelse. Gruppen bak, kjent som TA544, antas å være økonomisk motivert og kan ha til hensikt å leie ut WikiLoader til andre nettkriminelle. Til syvende og sist fører denne lasteren til Ursnif-banktrojaneren, et foretrukket valg av TA544.

Navnet "WikiLoader" stammer fra den skadelige programvarens oppførsel ved å sende en forespørsel til Wikipedia og sjekke for tilstedeværelsen av strengen "The Free" i svaret, som uttalt av forskerne.

WikiLoader spres gjennom ondsinnede dokumentvedlegg

Siden desember 2022 har Proofpoint observert minst åtte kampanjer som distribuerer WikiLoader. Disse kampanjene begynte med e-poster som inneholdt vedlegg i form av Microsoft Excel, OneNote eller vanlige PDF-filer. WikiLoader ble funnet å være distribuert av to trusselaktører, TA544 og TA551, med begge fokus på Italia. Selv om hackere har gått bort fra å bruke ondsinnede Microsoft Office-makrobaserte vedlegg på grunn av Microsofts sikkerhetsarbeid, fortsetter TA544 å bruke dem i sine angrepskjeder.

Microsoft Excel-vedleggene brukte karakteristiske VBA-makroer. Aktivering av disse makroene vil utløse nedlasting og kjøring av WikiLoader, en tidligere ukjent nedlaster oppdaget av Proofpoint under kampanjen tilskrevet TA544. VBA refererer til programmeringsspråket Visual Basic for Applications integrert i Office-pakken.

Forfatterne av WikiLoader ser ut til å jevnlig oppdatere skadelig programvare for å unngå oppdagelse og holde seg under radaren. Gitt dens evner, er det sannsynlig at flere nettkriminelle, spesielt de som er kjent som innledende tilgangsmeglere, vil bruke denne nedlasteren, noe som potensielt kan føre til løsepengevareangrep, ifølge Selena Larson, senior trusseletterretningsanalytiker hos Proofpoint.

Ursnif malware sin kildekode lekket på nettet i 2015, slik at angripere kan utvikle tilpassede og vanskeligere å oppdage versjoner av trojaneren. Ursnif, også kjent som DreamBot og Gozi ISFB, retter seg spesifikt mot bank- og finanssektoren, og stjeler passord og legitimasjon fra ofre.

I februar lanserte TA544 en kampanje med en oppdatert versjon av WikiLoader, og utgir seg for å være en italiensk budtjeneste. Denne versjonen var mer sofistikert, og brukte ytterligere stansemekanismer for å unngå automatisert analyse og bruke kodede strenger.

For å beskytte mot disse truslene anbefaler Proofpoint-forskere organisasjoner å deaktivere makroer som standard for alle ansatte og blokkere kjøringen av innebygde eksterne filer i OneNote-dokumenter.