TA544 威胁参与者部署的 WikiLoader 恶意软件

研究人员报告称，恶意软件下载程序正在模仿各种意大利组织（例如税务机构），以便向意大利公司发送银行木马。该下载程序被 Proofpoint 称为“WikiLoader”，它采用多种策略来避免检测。据信，其背后的组织 TA544 是出于经济动机，可能打算将 WikiLoader 出租给其他网络犯罪分子。最终，该加载程序会导致 Ursnif 银行木马，这是 TA544 的首选。

正如研究人员所述，“WikiLoader”这个名称源自恶意软件向维基百科发送请求并检查响应中是否存在字符串“The Free”的行为。

WikiLoader 通过恶意文档附件传播

自 2022 年 12 月以来，Proofpoint 观察到至少有 8 个分发 WikiLoader 的活动。这些活动从包含 Microsoft Excel、OneNote 或常规 PDF 文件形式的附件的电子邮件开始。 WikiLoader 被发现由两个威胁参与者 TA544 和 TA551 分发，均针对意大利。尽管由于 Microsoft 的安全努力，黑客已不再使用带有恶意 Microsoft Office 宏的附件，但 TA544 仍继续在其攻击链中使用它们。

Microsoft Excel 附件使用特有的 VBA 宏。启用这些宏将触发 WikiLoader 的下载和执行，这是 Proofpoint 在 TA544 活动期间发现的一个先前未知的下载程序。 VBA 是指集成到 Office 套件中的 Visual Basic for Applications 编程语言。

WikiLoader 的作者似乎会定期更新恶意软件以逃避检测并保持在雷达之下。 Proofpoint 高级威胁情报分析师 Selena Larson 表示，鉴于其功能，更多网络犯罪分子，尤其是那些被称为初始访问代理的网络犯罪分子，可能会使用该下载程序，从而可能导致勒索软件攻击。

Ursnif 恶意软件的源代码于 2015 年在网上泄露，允许攻击者开发定制且难以检测的木马版本。 Ursnif，也称为 DreamBot 和 Gozi ISFB，专门针对银行和金融部门，窃取受害者的密码和凭据。

2 月份，TA544 使用更新版本的 WikiLoader 发起了一场活动，冒充意大利快递服务。该版本更加复杂，采用额外的停顿机制来逃避自动分析并使用编码字符串。

为了防范这些威胁，Proofpoint 研究人员建议组织默认为所有员工禁用宏，并阻止执行 OneNote 文档中嵌入的外部文件。