Gli esperti hanno scoperto un nuovo malware, che hanno soprannominato “WikiLoader”. Gli esperti hanno osservato per la prima volta il nuovo malware quando è stato distribuito da TA544 (Threat Actor 544), un gruppo di criminali informatici che in genere utilizzano il malware Ursnif nei loro attacchi per colpire aziende principalmente in Italia. Di conseguenza, Proofpoint ha potuto osservare altre campagne informatiche.
WikiLoader è un downloader sofisticato progettato per installare un altro payload malware. Il malware appena scoperto include notevoli tecniche di offuscamento e implementazioni di codice personalizzato progettate per rendere più difficile il rilevamento e l’analisi da parte degli scienziati forensi informatici. Probabilmente gli sviluppatori hanno già affittato WikiLoader a criminali informatici selezionati.
Sulla base delle sue osservazioni, Proofpoint ritiene che questo malware venga utilizzato anche da altri gruppi di criminali informatici, in particolare da quelli che agiscono come broker di accesso iniziale (IAB).
Attacca le campagne con WikiLoader
Gli esperti di Proofpoint hanno scoperto almeno otto campagne in cui WikiLoader è stato distribuito da dicembre 2022. Le campagne informatiche sono iniziate con e-mail contenenti allegati Microsoft Excel, allegati Microsoft OneNote o allegati PDF. Non solo WikiLoader è stato distribuito da TA544, ma anche da almeno un altro gruppo, TA551. Entrambi gli attori criminali hanno concentrato la loro attenzione sull'Italia. Mentre la maggior parte dei criminali informatici ha smesso di utilizzare documenti basati su macro come veicolo per diffondere malware, TA544 continua a utilizzarli nelle proprie catene di attacco, anche per diffondere WikiLoader.
Le campagne WikiLoader più importanti sono state osservate dagli esperti di Proofpoint il 27 dicembre 2022, l'8 febbraio 2023 e, più recentemente, l'11 luglio 2023. WikiLoader è stato osservato come payload successivo all'installazione di Ursnif.
Allegati Excel, OneNote o PDF infetti
“WikiLoader è un nuovo e sofisticato malware apparso solo di recente nel panorama del crimine informatico e finora è stato associato principalmente alle campagne di distribuzione di Ursnif. È attualmente in fase di sviluppo attivo e sembra che i suoi autori stiano apportando modifiche regolari per non essere rilevati e aggirare le difese comuni”, ha affermato Selena Larson, Senior Threat Intelligence Analyst presso Proofpoint.
“È ovvio che nel prossimo futuro altri gruppi di criminali informatici utilizzeranno questo malware, in particolare i cosiddetti Initial Access Brokers (IAB). Questi attirano regolarmente l'attenzione con attività che servono a diffondere ransomware. I leader della sicurezza informatica dovrebbero acquisire familiarità con questo nuovo malware e con le ultime attività relative alla sua proliferazione, e adottare misure per proteggere le proprie organizzazioni dalle infezioni”.
Gli esperti di Proofpoint hanno raccolto le loro scoperte su WikiLoader in un'indagine tecnica dettagliata e le hanno riassunte in un post sul blog in lingua inglese.
Altro su Proofpoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.