TA544 威脅參與者部署的 WikiLoader 惡意軟件

研究人員報告稱，惡意軟件下載程序正在模仿各種意大利組織（例如稅務機構），以便向意大利公司發送銀行木馬。該下載程序被 Proofpoint 稱為“WikiLoader”，它採用多種策略來避免檢測。據信，其背後的組織 TA544 是出於經濟動機，可能打算將 WikiLoader 出租給其他網絡犯罪分子。最終，該加載程序會導致 Ursnif 銀行木馬，這是 TA544 的首選。

正如研究人員所述，“WikiLoader”這個名稱源自惡意軟件向維基百科發送請求並檢查響應中是否存在字符串“The Free”的行為。

WikiLoader 通過惡意文檔附件傳播

自 2022 年 12 月以來，Proofpoint 觀察到至少有 8 個分發 WikiLoader 的活動。這些活動從包含 Microsoft Excel、OneNote 或常規 PDF 文件形式的附件的電子郵件開始。 WikiLoader 被發現由兩個威脅參與者 TA544 和 TA551 分發，均針對意大利。儘管由於 Microsoft 的安全努力，黑客已不再使用帶有惡意 Microsoft Office 宏的附件，但 TA544 仍繼續在其攻擊鏈中使用它們。

Microsoft Excel 附件使用特有的 VBA 宏。啟用這些宏將觸發 WikiLoader 的下載和執行，這是 Proofpoint 在 TA544 活動期間發現的一個先前未知的下載程序。 VBA 是指集成到 Office 套件中的 Visual Basic for Applications 編程語言。

WikiLoader 的作者似乎會定期更新惡意軟件以逃避檢測並保持在雷達之下。 Proofpoint 高級威脅情報分析師 Selena Larson 表示，鑑於其功能，更多網絡犯罪分子，尤其是那些被稱為初始訪問代理的網絡犯罪分子，可能會使用該下載程序，從而可能導致勒索軟件攻擊。

Ursnif 惡意軟件的源代碼於 2015 年在網上洩露，允許攻擊者開發定制且難以檢測的木馬版本。 Ursnif，也稱為 DreamBot 和 Gozi ISFB，專門針對銀行和金融部門，竊取受害者的密碼和憑據。

2 月份，TA544 使用更新版本的 WikiLoader 發起了一場活動，冒充意大利快遞服務。該版本更加複雜，採用額外的停頓機制來逃避自動分析並使用編碼字符串。

為了防範這些威脅，Proofpoint 研究人員建議組織默認為所有員工禁用宏，並阻止執行 OneNote 文檔中嵌入的外部文件。