Вредоносное ПО WikiLoader, развернутое TA544 Threat Actor

Исследователи сообщают, что загрузчик вредоносного ПО имитирует работу различных итальянских организаций, таких как налоговая служба, для доставки банковского троянца итальянским компаниям. Загрузчик, названный Proofpoint «WikiLoader», использует несколько тактик, чтобы избежать обнаружения. Считается, что стоящая за ним группа, известная как TA544, имеет финансовые мотивы и может намереваться сдать WikiLoader в аренду другим киберпреступникам. В конечном итоге этот загрузчик ведет к банковскому трояну Ursnif, который предпочитает TA544.

Название «WikiLoader» происходит от поведения вредоносного ПО, отправляющего запрос в Википедию и проверяющего наличие строки «The Free» в ответе, как заявили исследователи.

WikiLoader распространяется через вредоносные вложения документов

С декабря 2022 года Proofpoint наблюдала как минимум восемь кампаний по распространению WikiLoader. Эти кампании начались с электронных писем, содержащих вложения в виде файлов Microsoft Excel, OneNote или обычных PDF-файлов. Было обнаружено, что WikiLoader распространяется двумя злоумышленниками, TA544 и TA551, причем оба сосредоточены на Италии. Хотя хакеры отказались от использования вредоносных вложений с макросами Microsoft Office из-за усилий Microsoft по обеспечению безопасности, TA544 продолжает использовать их в своих цепочках атак.

Во вложениях Microsoft Excel использовались характерные макросы VBA. Включение этих макросов приведет к загрузке и выполнению WikiLoader, ранее неизвестного загрузчика, обнаруженного Proofpoint во время кампании, приписываемой TA544. VBA относится к языку программирования Visual Basic для приложений, интегрированному в пакет Office.

Авторы WikiLoader регулярно обновляют вредоносное ПО, чтобы избежать обнаружения и остаться незамеченными. Учитывая его возможности, вполне вероятно, что больше киберпреступников, особенно известных как брокеры начального доступа, будут использовать этот загрузчик, что может привести к атакам программ-вымогателей, по словам Селены Ларсон, старшего аналитика по анализу угроз в Proofpoint.

Исходный код вредоносной программы Ursnif просочился в сеть в 2015 году, что позволило злоумышленникам разработать индивидуальные и труднообнаруживаемые версии троянца. Ursnif, также известный как DreamBot и Gozi ISFB, специально нацелен на банковский и финансовый секторы, похищая пароли и учетные данные у жертв.

В феврале TA544 запустила кампанию с использованием обновленной версии WikiLoader, выдавая себя за итальянскую курьерскую службу. Эта версия была более сложной, в ней использовались дополнительные механизмы остановки для обхода автоматического анализа и использование закодированных строк.

Чтобы защититься от этих угроз, исследователи Proofpoint рекомендуют организациям отключать макросы по умолчанию для всех сотрудников и блокировать выполнение встроенных внешних файлов в документах OneNote.