WikiLoader Malware utplacerad av TA544 Threat Actor

Forskare har rapporterat att en nedladdare av skadlig programvara imiterar olika italienska organisationer, såsom skattemyndigheten, för att leverera en banktrojan för att rikta in sig på italienska företag. Nedladdaren, kallad "WikiLoader" av Proofpoint, använder flera taktiker för att undvika upptäckt. Gruppen bakom, känd som TA544, tros vara ekonomiskt motiverad och kan ha för avsikt att hyra ut WikiLoader till andra cyberkriminella. I slutändan leder denna lastare till Ursnif banking Trojan, ett gynnat val av TA544.

Namnet "WikiLoader" härrör från skadlig programvaras beteende att skicka en förfrågan till Wikipedia och kontrollera förekomsten av strängen "The Free" i svaret, enligt forskarna.

WikiLoader sprids genom skadliga dokumentbilagor

Sedan december 2022 har Proofpoint observerat minst åtta kampanjer som distribuerar WikiLoader. Dessa kampanjer började med e-postmeddelanden som innehöll bilagor i form av Microsoft Excel, OneNote eller vanliga PDF-filer. WikiLoader befanns distribueras av två hotaktörer, TA544 och TA551, där båda fokuserade på Italien. Även om hackare har gått bort från att använda skadliga Microsoft Office-makro-snörade bilagor på grund av Microsofts säkerhetsansträngningar, fortsätter TA544 att använda dem i sina attackkedjor.

Microsoft Excel-bilagor använde karakteristiska VBA-makron. Aktivering av dessa makron skulle utlösa nedladdning och körning av WikiLoader, en tidigare okänd nedladdare som upptäcktes av Proofpoint under kampanjen som tillskrivs TA544. VBA hänvisar till programmeringsspråket Visual Basic for Applications integrerat i Office-paketet.

Författarna till WikiLoader verkar regelbundet uppdatera skadlig programvara för att undvika upptäckt och hålla sig under radarn. Med tanke på dess kapacitet är det troligt att fler cyberbrottslingar, särskilt de som kallas initial access brokers, kommer att använda denna nedladdare, vilket potentiellt kan leda till ransomware-attacker, enligt Selena Larson, senior hot intelligence-analytiker på Proofpoint.

Ursnif malwares källkod läckte online 2015, vilket gjorde det möjligt för angripare att utveckla anpassade och svårare att upptäcka versioner av trojanen. Ursnif, även känd som DreamBot och Gozi ISFB, riktar sig specifikt mot bank- och finanssektorn och stjäl lösenord och referenser från offer.

I februari lanserade TA544 en kampanj med en uppdaterad version av WikiLoader, som utgav sig för att vara en italiensk budtjänst. Den här versionen var mer sofistikerad och använde ytterligare blockeringsmekanismer för att undvika automatiserad analys och använda kodade strängar.

För att skydda mot dessa hot rekommenderar Proofpoint-forskare organisationer att inaktivera makron som standard för alla anställda och blockera exekvering av inbäddade externa filer i OneNote-dokument.