Malware WikiLoader

Una nuova campagna di phishing prende di mira le organizzazioni in Italia, utilizzando un ceppo di malware appena scoperto chiamato WikiLoader. Questo sofisticato downloader ha l'obiettivo principale di installare un secondo payload di malware sui dispositivi compromessi. Per evitare il rilevamento, WikiLoader utilizza molteplici meccanismi di evasione, indicando che potrebbe essere stato progettato come malware a pagamento, disponibile per specifici attori delle minacce criminali informatici. Il nome "WikiLoader" deriva dal comportamento del malware di effettuare una richiesta a Wikipedia e verificare se la risposta contiene la stringa "The Free".

Il primo avvistamento di questo malware in natura si è verificato il 27 dicembre 2022, in connessione con un set di intrusioni gestito da un attore di minacce noto come TA544, identificato anche come Bamboo Spider e Zeus Panda . In particolare, il payload finale nelle infezioni di WikiLoader sembra essere Ursnif (Gozi). Si tratta di una famigerata minaccia malware dotata di trojan bancari, stealer e funzionalità spyware.

I criminali informatici utilizzano esche di phishing per fornire WikiLoader

Le campagne di phishing collegate a WikiLoader ruotano attorno all'utilizzo di e-mail contenenti vari allegati come Microsoft Excel, Microsoft OneNote o file PDF. Questi allegati fungono da esche per distribuire il payload del downloader, che, a sua volta, facilita l'installazione del malware Ursnif.

Un'osservazione interessante è che WikiLoader, il malware responsabile dell'infezione iniziale, sembra essere condiviso tra più gruppi di criminali informatici. Uno di questi gruppi, noto come TA551 o Shathak, è stato recentemente osservato utilizzare WikiLoader nelle sue attività a partire dalla fine di marzo 2023.

A metà luglio 2023, ulteriori campagne condotte dall'attore di minacce TA544 hanno utilizzato allegati PDF a tema contabile. Questi allegati contenevano URL che, se cliccati, portavano alla consegna di un file di archivio ZIP. All'interno di questo archivio, un file JavaScript è responsabile del download e dell'esecuzione del malware WikiLoader, avviando la catena di attacco.

WikiLoader impiega sofisticate tecniche di evasione

WikiLoader impiega robuste tecniche di offuscamento e utilizza tattiche evasive per aggirare il software di sicurezza degli endpoint, assicurandosi di evitare il rilevamento durante gli ambienti di analisi automatizzati. Inoltre, è appositamente progettato per recuperare ed eseguire un payload shellcode ospitato su Discord, fungendo in definitiva da trampolino di lancio per il malware Ursnif.

Come indicato dagli esperti, WikiLoader è in fase di sviluppo attivo e i suoi creatori implementano regolarmente modifiche per mantenere le loro operazioni segrete non rilevate e sotto il radar.

È altamente probabile che più attori di minacce criminali adotteranno WikiLoader, in particolare quelli identificati come broker di accesso iniziale (IAB), noti per essere coinvolti in attività che spesso portano ad attacchi ransomware. I difensori e i team di sicurezza informatica devono essere vigili e informati su questo nuovo malware e sulle complessità coinvolte nella consegna del payload. L'adozione di misure proattive per salvaguardare le loro organizzazioni dal potenziale sfruttamento è essenziale per mitigarne l'impatto.