I ricercatori di sicurezza informatica di Proofpoint hanno lanciato l’allarme riguardo a una nuova minaccia digitale che sta colpendo il territorio italiano. Il malware, denominato “WikiLoader”, è stato individuato per la prima volta a dicembre 2022 ed è stato associato all’attore malevolo noto come TA544, solitamente associato al malware Ursnif, impiegato per attaccare organizzazioni nel nostro paese.
Indice degli argomenti
WikiLoader è il malware che prende di mira l’Italia
WikiLoader si presenta come un downloader sofisticato, progettato per installare un secondo payload malevolo e per eludere la rilevazione e l’analisi attraverso tecniche di evasione avanzate. Gli esperti ritengono che il malware sia stato sviluppato per essere utilizzato da selezionati criminali informatici, con l’obiettivo di intraprendere attività malevole, inclusa la diffusione di ransomware.
Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, ha affermato: “WikiLoader è un nuovo e sofisticato malware che ha fatto la sua comparsa recentemente e, finora, è stato associato alle campagne di distribuzione di Ursnif. Gli autori sembrano aggiornarlo costantemente per sfuggire alla rilevazione e agire indisturbati. È probabile che venga utilizzato da un numero crescente di cybercriminali, soprattutto da quelli noti come Initial Access Broker, che preparano il terreno per i dannosi attacchi ransomware”.
Le azioni malevole di distribuzione di WikiLoader hanno attirato l’attenzione dei ricercatori di Proofpoint sin dal dicembre 2022, con almeno otto campagne individuate fino a luglio 2023. Il nome viene coniato proprio dalla caratteristica di check primariamente individuata, insita nel malware. Questa caratteristica include il controllo del dominio principale Wikipedia e, con lo scraping, controlla che ci sia la scritta “The Free” nel risultato. Questo controllo serve al malware per capire se si sta attivando su una macchina connessa ad Internet con possibilità di connessioni verso l’esterno dell’infrastruttura, piuttosto che isolata.
Le campagne iniziano con l’invio di email contenenti allegati Microsoft Excel, Microsoft OneNote o PDF. Almeno due attori, TA544 e TA551, sono stati attivi nella diffusione del malware, con particolare mira all’Italia.
Le maggiori tipologia di campagne WikiLoader
Le campagne più significative sono state osservate il 27 dicembre 2022, l’8 febbraio 2023 e l’11 luglio 2023, con il malware Ursnif identificato come payload successivo. Nel caso della prima campagna, gli allegati malevoli che sembravano provenire dall’Agenzia delle Entrate, contenendo macro VBA tali che, se attivate, avrebbero scaricato e lanciato il nuovo downloader, successivamente denominato WikiLoader.
Il 2023 ha visto un’ulteriore evoluzione di WikiLoader, con una versione aggiornata utilizzata nell’attacco di febbraio. Questa campagna si presentava come un finto servizio corriere di spedizione italiano e i documenti Excel allegati, con macro VBA abilitate, portavano all’installazione di WikiLoader e al successivo download di Ursnif. La versione aggiornata del malware aveva una struttura più complessa, impiegava anche stringhe codificate per evitare l’analisi automatica.
L’11 luglio 2023, gli esperti hanno identificato ulteriori modifiche a WikiLoader, contenente un protocollo di comunicazione rinnovato per raggiungere i webhost compromessi e meccanismi di stallo più avanzati, rendendo difficile la sua individuazione. In questa campagna, TA544 ha utilizzato contenuti dal settore contabile per inviare allegati PDF con URL che portavano al download di un file JavaScript zippato. L’esecuzione di questo file conduceva al download e all’esecuzione di WikiLoader.
Le campagne di distribuzione di WikiLoader sono state caratterizzate da un alto volume di email malevole, con più di 150.000 messaggi coinvolti in alcune di esse. L’attacco non ha preso di mira esclusivamente organizzazioni italiane, ma dalla ricerca si evince che il focus principale è stato sicuramente sull’Italia.
Gli esperti di sicurezza informatica e le organizzazioni sono ora all’erta riguardo questa nuova minaccia digitale. La consapevolezza riguardo le modalità di infezione e la protezione adeguata delle reti aziendali sono essenziali per contrastare l’impatto di WikiLoader e dei malware correlati, restando anche in questo caso, una delle più efficaci armi a disposizione per combattere il successo di questi attacchi.
