WikiLoader Malware implantado pelo TA544 Threat Actor

Pesquisadores relataram que um downloader de malware está imitando várias organizações italianas, como a agência tributária, para fornecer um Trojan bancário para atingir empresas italianas. O downloader, apelidado de "WikiLoader" pela Proofpoint, emprega várias táticas para evitar a detecção. Acredita-se que o grupo por trás dele, conhecido como TA544, tenha motivação financeira e pretenda alugar o WikiLoader para outros cibercriminosos. Por fim, esse carregador leva ao Trojan bancário Ursnif, uma escolha preferida do TA544.

O nome "WikiLoader" deriva do comportamento do malware de enviar uma solicitação à Wikipedia e verificar a presença da string "The Free" na resposta, conforme declarado pelos pesquisadores.

WikiLoader espalhado através de anexos de documentos maliciosos

Desde dezembro de 2022, a Proofpoint observou pelo menos oito campanhas de distribuição do WikiLoader. Essas campanhas começaram com e-mails contendo anexos na forma de Microsoft Excel, OneNote ou arquivos PDF comuns. Descobriu-se que o WikiLoader era distribuído por dois agentes de ameaças, TA544 e TA551, ambos com foco na Itália. Embora os hackers tenham deixado de usar anexos maliciosos com macros do Microsoft Office devido aos esforços de segurança da Microsoft, o TA544 continua a usá-los em suas cadeias de ataque.

Os anexos do Microsoft Excel usavam macros VBA característicos. A ativação dessas macros acionaria o download e a execução do WikiLoader, um downloader anteriormente desconhecido descoberto pela Proofpoint durante a campanha atribuída ao TA544. VBA refere-se à linguagem de programação Visual Basic for Applications integrada ao pacote Office.

Os autores do WikiLoader parecem atualizar regularmente o malware para evitar a detecção e ficar fora do radar. Dadas as suas capacidades, é provável que mais cibercriminosos, especialmente aqueles conhecidos como corretores de acesso inicial, usem esse downloader, potencialmente levando a ataques de ransomware, de acordo com Selena Larson, analista sênior de inteligência de ameaças da Proofpoint.

O código-fonte do malware Ursnif vazou online em 2015, permitindo que os invasores desenvolvessem versões personalizadas e mais difíceis de detectar do Trojan. O Ursnif, também conhecido como DreamBot e Gozi ISFB, visa especificamente os setores bancário e financeiro, roubando senhas e credenciais das vítimas.

Em fevereiro, o TA544 lançou uma campanha usando uma versão atualizada do WikiLoader, fingindo ser um serviço de correio italiano. Esta versão era mais sofisticada, empregando mecanismos de paralisação adicionais para evitar a análise automatizada e usando strings codificadas.

Para se proteger contra essas ameaças, os pesquisadores da Proofpoint recomendam que as organizações desativem as macros por padrão para todos os funcionários e bloqueiem a execução de arquivos externos incorporados nos documentos do OneNote.