Złośliwe oprogramowanie WikiLoader wdrożone przez podmiot odpowiedzialny za zagrożenie TA544

Badacze donieśli, że program do pobierania złośliwego oprogramowania imituje różne włoskie organizacje, takie jak urząd skarbowy, w celu dostarczenia trojana bankowego do włoskich firm. Program do pobierania, nazwany przez Proofpoint „WikiLoader”, stosuje kilka taktyk, aby uniknąć wykrycia. Uważa się, że stojąca za tym grupa, znana jako TA544, ma motywację finansową i może zamierzać wypożyczyć WikiLoader innym cyberprzestępcom. Ostatecznie ten program ładujący prowadzi do trojana bankowego Ursnif, ulubionego przez TA544.

Jak stwierdzili naukowcy, nazwa „WikiLoader” wywodzi się od zachowania szkodliwego oprogramowania polegającego na wysyłaniu żądania do Wikipedii i sprawdzaniu obecności ciągu „The Free” w odpowiedzi.

WikiLoader rozprzestrzenia się poprzez złośliwe załączniki dokumentów

Od grudnia 2022 roku Proofpoint zaobserwował co najmniej osiem kampanii dystrybuujących WikiLoader. Kampanie te rozpoczynały się od wiadomości e-mail zawierających załączniki w postaci plików Microsoft Excel, OneNote lub zwykłych plików PDF. Stwierdzono, że WikiLoader był dystrybuowany przez dwóch cyberprzestępców, TA544 i TA551, z których oba skupiały się na Włoszech. Chociaż hakerzy odeszli od używania złośliwych załączników Microsoft Office zawierających makra ze względu na wysiłki firmy Microsoft w zakresie bezpieczeństwa, TA544 nadal używa ich w swoich łańcuchach ataków.

W załącznikach Microsoft Excel zastosowano charakterystyczne makra VBA. Włączenie tych makr spowodowałoby pobranie i wykonanie programu WikiLoader, nieznanego wcześniej narzędzia do pobierania, wykrytego przez Proofpoint podczas kampanii przypisywanej TA544. VBA odnosi się do języka programowania Visual Basic for Applications zintegrowanego z pakietem Office.

Wydaje się, że autorzy WikiLoadera regularnie aktualizują złośliwe oprogramowanie, aby uniknąć wykrycia i pozostać w ukryciu. Według Seleny Larson, starszej analityczki analizy zagrożeń w Proofpoint, biorąc pod uwagę jego możliwości, jest prawdopodobne, że więcej cyberprzestępców, zwłaszcza znanych jako brokerzy pierwszego dostępu, będzie korzystać z tego downloadera, co może prowadzić do ataków ransomware.

Kod źródłowy szkodliwego oprogramowania Ursnif wyciekł do sieci w 2015 r., umożliwiając atakującym opracowanie dostosowanych i trudniejszych do wykrycia wersji trojana. Ursnif, znany również jako DreamBot i Gozi ISFB, atakuje w szczególności sektor bankowy i finansowy, kradnąc hasła i dane uwierzytelniające ofiar.

W lutym TA544 rozpoczęło kampanię z wykorzystaniem zaktualizowanej wersji WikiLoadera, podszywając się pod włoską firmę kurierską. Ta wersja była bardziej wyrafinowana, wykorzystywała dodatkowe mechanizmy opóźniające, aby uniknąć automatycznej analizy i używała zakodowanych ciągów znaków.

Aby chronić się przed tymi zagrożeniami, badacze Proofpoint zalecają organizacjom domyślne wyłączanie makr dla wszystkich pracowników i blokowanie wykonywania osadzonych plików zewnętrznych w dokumentach OneNote.