I ricercatori di Proofpoint hanno identificato un nuovo malware, WikiLoader, individuato per la prima volta a dicembre 2022 e distribuito da TA544, attore che generalmente utilizza il malware Ursnif per colpire le organizzazioni italiane. Proofpoint ha osservato diverse campagne successive, la maggior parte delle quali ha preso di mira sempre l’Italia.
WikiLoader – spiega la società di cybersecurity – è un sofisticato downloader che ha l’obiettivo di installare un secondo payload malware e contiene interessanti tecniche di evasione oltre un’implementazione personalizzata del codice progettata per rendere difficile rilevamento e analisi. WikiLoader è stato probabilmente sviluppato come un malware che può essere offerto ad attori criminali informatici selezionati.
“WikiLoader è un nuovo e sofisticato malware apparso di recente nel panorama delle minacce informatiche, finora associato alle campagne di distribuzione di Ursnif. Attualmente è in fase di sviluppo attivo e i suoi autori sembrano apportare regolarmente delle modifiche per cercare di non essere individuati e passare inosservati.
È probabile che questo sistema venga utilizzato da un numero maggiore di cybercriminali, in particolare da quelli noti come IAB (Initial Access Broker) che svolgono regolarmente attività che conducono al ransomware. I difensori dovrebbero essere consapevoli di questo nuovo malware e delle attività incluse nella consegna del payload, adottando misure per proteggere le loro organizzazioni”, spiega Selena Larson, senior threat intelligence analyst di Proofpoint.
I dettagli della campagna WikiLoader
I ricercatori di Proofpoint hanno scoperto almeno otto campagne di WikiLoader dal dicembre 2022 che iniziavano con email contenenti allegati Microsoft Excel, Microsoft OneNote o PDF. Proofpoint ha osservato almeno due attori attivi nella distribuzione, TA544 e TA551, entrambi rivolti all’Italia. Mentre la maggior parte dei criminali informatici si è allontanata dai documenti abilitati alle macro come veicolo per la diffusione di malware, TA544 ha continuato a utilizzarli nelle catene di attacco, anche per distribuire WikiLoader.
Le campagne WikiLoader più significative sono state osservate il 27 dicembre 2022, l’8 febbraio 2023 e l’11 luglio 2023, con Ursnif identificato come payload successivo.
La prima campagna del dicembre scorso ha visto l’invio di email malevole ad alto volume contenenti un allegato Microsoft Excel che sembravano provenire dall’Agenzia delle Entrate per colpire aziende italiane, con email. Gli allegati contenevano macro VBA caratteristiche che, se attivate dal destinatario, avrebbero scaricato ed eseguito un nuovo downloader non identificato che i ricercatori di Proofpoint hanno infine battezzato WikiLoader. Questa campagna è stata attribuita a TA544.
Proofpoint ha poi identificato una versione aggiornata di WikiLoader utilizzata a febbraio 2023 in un’altra campagna ad alto volume, sempre mirata all’Italia e attribuita a TA544. La campagna simulava un servizio di spedizione italiano e conteneva documenti Excel abilitati alle macro VBA che, se attivate, avrebbero portato all’installazione di WikiLoader e al conseguente download di Ursnif. Questa versione di WikiLoader aveva una struttura più complessa, meccanismi di stallo aggiuntivi utilizzati per cercare di eludere l’analisi automatica e l’uso di stringhe codificate.
Lo scorso 11 luglio, i ricercatori hanno identificato ulteriori modifiche al malware sviluppato attivamente nel protocollo utilizzato per raggiungere i webhost compromessi, l’esfiltrazione di informazioni sull’host tramite cookie HTTP, meccanismi di stallo aggiuntivi che richiedono l’esecuzione del codice per un tempo prolungato e l’elaborazione di shellcode. In questa campagna, TA544 ha utilizzato temi legati alla contabilità per inviare allegati PDF con URL che conducevano al download di un file JavaScript zippato, che, se eseguito, portava al download e all’esecuzione di WikiLoader. Anche questa campagna è stata ad alto volume, con oltre 150.000 messaggi, e non ha preso di mira esclusivamente organizzazioni italiane come le campagne osservate in precedenza.
