WikiLoader-malware geïmplementeerd door TA544 Threat Actor

Onderzoekers hebben gemeld dat een malware-downloader verschillende Italiaanse organisaties imiteert, zoals de belastingdienst, om een banktrojan te leveren aan Italiaanse bedrijven. De downloader, door Proofpoint "WikiLoader" genoemd, gebruikt verschillende tactieken om detectie te voorkomen. De groep erachter, bekend als TA544, wordt verondersteld financieel gemotiveerd te zijn en is mogelijk van plan WikiLoader aan andere cybercriminelen te verhuren. Uiteindelijk leidt deze lader naar de Ursnif-banktrojan, een favoriete keuze van TA544.

De naam "WikiLoader" is afgeleid van het gedrag van de malware om een verzoek naar Wikipedia te sturen en te controleren op de aanwezigheid van de tekenreeks "The Free" in het antwoord, zoals gesteld door de onderzoekers.

WikiLoader verspreid via schadelijke documentbijlagen

Sinds december 2022 heeft Proofpoint ten minste acht campagnes waargenomen die WikiLoader verspreiden. Deze campagnes begonnen met e-mails met bijlagen in de vorm van Microsoft Excel, OneNote of gewone pdf-bestanden. WikiLoader bleek te zijn gedistribueerd door twee bedreigingsactoren, TA544 en TA551, die zich beide op Italië richtten. Hoewel hackers vanwege de beveiligingsinspanningen van Microsoft zijn afgestapt van het gebruik van kwaadaardige macro-geregen bijlagen van Microsoft Office, blijft TA544 ze gebruiken in zijn aanvalsketens.

De Microsoft Excel-bijlagen gebruikten karakteristieke VBA-macro's. Het inschakelen van deze macro's zou het downloaden en uitvoeren van WikiLoader activeren, een voorheen onbekende downloader ontdekt door Proofpoint tijdens de campagne toegeschreven aan TA544. VBA verwijst naar de programmeertaal Visual Basic for Applications die is geïntegreerd in de Office-suite.

De auteurs van WikiLoader lijken de malware regelmatig bij te werken om detectie te omzeilen en onder de radar te blijven. Gezien de mogelijkheden is het waarschijnlijk dat meer cybercriminelen, vooral degenen die bekend staan als initial access brokers, deze downloader zullen gebruiken, wat mogelijk kan leiden tot ransomware-aanvallen, aldus Selena Larson, senior threat intelligence-analist bij Proofpoint.

De broncode van de Ursnif-malware is in 2015 online gelekt, waardoor aanvallers aangepaste en moeilijker te detecteren versies van de trojan kunnen ontwikkelen. Ursnif, ook bekend als DreamBot en Gozi ISFB, richt zich specifiek op de bank- en financiële sector en steelt wachtwoorden en inloggegevens van slachtoffers.

In februari lanceerde TA544 een campagne met een bijgewerkte versie van WikiLoader, die zich voordeed als een Italiaanse koeriersdienst. Deze versie was geavanceerder en gebruikte extra blokkeermechanismen om geautomatiseerde analyse te omzeilen en gebruikte gecodeerde strings.

Om zich tegen deze bedreigingen te beschermen, raden Proofpoint-onderzoekers organisaties aan om macro's standaard uit te schakelen voor alle werknemers en de uitvoering van ingesloten externe bestanden in OneNote-documenten te blokkeren.