Una nuova minaccia informatica sta prendendo di mira le aziende in Italia. Si tratta di una campagna di phishing che utilizza un malware chiamato WikiLoader, sviluppato per installare un trojan bancario, stealer e spyware noto come Ursnif. Ecco cosa sappiamo finora grazie alla ricerca di Proofpoint
WikiLoader: un downloader sofisticato
WikiLoader è un downloader sofisticato con l’obiettivo di installare un secondo payload di malware. Utilizza meccanismi multipli per eludere il rilevamento ed è stato probabilmente sviluppato come malware che può essere noleggiato a selezionati attori minacciosi. Il malware prende il nome dal fatto che effettua una richiesta a Wikipedia e controlla che la risposta contenga la stringa “The Free.”
Come funziona la campagna di phishing
La campagna di phishing utilizza email contenenti allegati Microsoft Excel, Microsoft OneNote o PDF come esca per distribuire il downloader, che viene successivamente utilizzato per installare Ursnif. Le campagne sono incentrate sull’utilizzo di temi contabili per propagare allegati PDF con URL che, se cliccati, portano alla consegna di un file ZIP contenente un file JavaScript progettato per scaricare ed eseguire WikiLoader.
Attori minacciosi coinvolti
La società di sicurezza aziendale Proofpoint ha rilevato per la prima volta il malware il 27 dicembre 2022, in relazione a un insieme di intrusioni montate da un attore minaccioso noto come TA544. Un altro attore minaccioso, TA551, è stato osservato ad utilizzare il malware a partire dalla fine di marzo 2023.
Caratteristiche di WikiLoader
WikiLoader è pesantemente offuscato e viene fornito con manovre elusive per eludere il software di sicurezza endpoint ed evitare la detonazione in ambienti di analisi automatizzati. È anche progettato per recuperare ed eseguire un payload shellcode ospitato su Discord, che viene utilizzato per lanciare Ursnif.
Prevenzione e protezione
WikiLoader è attualmente in fase di sviluppo attivo, e i suoi autori sembrano apportare regolari modifiche per cercare di rimanere non rilevati. È probabile che altri attori criminali lo utilizzino, specialmente quelli noti come broker di accesso iniziale (IAB) che conducono attività regolari che portano a ransomware. I difensori dovrebbero essere consapevoli di questo nuovo malware e delle attività coinvolte nella consegna del payload, e prendere misure per proteggere le loro organizzazioni contro lo sfruttamento.