top of page
Forfatters billedeThomas Pedersen

Italienske organisationer ramt af ny malware "WikiLoader" via Microsoft Office

En ny bølge af cybertrusler er dukket op, hvor italienske organisationer er blevet ofre for en sofistikeret malware-kampagne. Forskere har afsløret en malware-downloader, kaldet "WikiLoader", som bliver brugt til at levere en farlig banktrojaner.


Italien, Malware, Wikiloader, Cyberangreb, Proofpoint, Wikipedia, Microsoft, IT-sikkerhed

Det er bemærkelsesværdigt, at italienske enheder, herunder skattebureauet, er blevet efterlignet af denne ondsindede aktivitet.


Rapport fra Proofpoint


Ifølge eksperter fra Proofpoint, cybersikkerhedsfirmaet, der er ansvarlig for denne opdagelse, er WikiLoader omhyggeligt konstrueret med flere undvigelsesmekanismer for at undgå opdagelse.


Hjernen bag denne økonomisk motiverede cybertrussel, sporet af Proofpoint under navnet TA544, ser ud til at have lavet WikiLoader med den hensigt potentielt at udleje den til en udvalgt gruppe cyberkriminelle. Det ultimative mål med denne loader er at infiltrere italienske virksomheder med Ursnif banking Trojan, en af ​​de to trojanske stammer, der foretrækkes af TA544.


Kaldet "WikiLoader" på grund af dens karakteristiske adfærd med at sende anmodninger til Wikipedia og tjekke for tilstedeværelsen af ​​strengen "The Free" i responsindholdet, har denne malware tiltrukket sig betydelig opmærksomhed. Siden december 2022 har Proofpoint identificeret mindst otte forskellige kampagner, der distribuerer WikiLoader.


Disse kampagner begynder normalt med implementering af phishing-e-mails med ondsindede vedhæftede filer. Disse vedhæftede filer er typisk i form af Microsoft Excel- eller OneNote-filer eller nogle gange almindelige PDF-filer. Forskerne observerede, at WikiLoader er blevet distribueret af mindst to trusselsaktører, TA544 og TA551, som begge har rettet sig mod italienske mål. Mens ondsindede Microsoft Office-makrofyldte vedhæftede filer har været i tilbagegang på grund af Microsofts modforanstaltninger mod makroer, er TA544 forblevet vedholdende i sin brug af denne taktik.


For eksempel blev identificerbare Visual Basic for Applications (VBA)-makroer indlejret i Microsoft Excel-vedhæftninger. Når de først var aktiveret af modtageren, startede disse makroer download og eksekvering af en ukendt downloader, som Proofpoints forskere til sidst døbte WikiLoader. Det var TA544, der var knyttet til denne kampagne. Forfatterne af WikiLoader har vist en evne til konstant modifikation for at opretholde en lav profil og undgå opdagelse. Der er stor sandsynlighed for, at andre kriminelle trusselsaktører, især indledende adgangsmæglere, som ofte baner vejen for ransomware-angreb, vil anvende denne teknik.


Selena Larson, en senior trusselsefterretningsanalytiker hos Proofpoint, understregede, "Dets forfattere ser ud til at foretage regelmæssige ændringer for at prøve at forblive uopdaget og flyve under radaren. Det er sandsynligt, at flere kriminelle trusselsaktører vil bruge dette, især dem, der er kendt som indledende adgangsmæglere. der udfører regelmæssig aktivitet, der fører til ransomware."


Ursnif-banktrojaneren, også kendt som DreamBot og Gozi ISFB, er den ultimative nyttelast af WikiLoader. Denne trojaner, som oprindeligt dukkede op i 2015, da dens kildekode blev lækket online, er designet til at stjæle adgangskoder og legitimationsoplysninger. Dens primære mål er bank- og finanssektoren.


En kampagne i februar, som blev tilskrevet TA544, viste en opgraderet version af WikiLoader, som brugte en italiensk kurertjeneste som lokkemiddel. Denne avancerede iteration indeholdt yderligere stalling-mekanismer og kodede strenge for at forhindre automatiseret analyse.


I lyset af denne udvikling anbefaler Proofpoint-forskere, at organisationer universelt deaktiverer makroer for alle medarbejdere som standard og implementerer foranstaltninger til at blokere eksekveringen af ​​eksterne filer, der er indlejret i OneNote-dokumenter. Disse proaktive skridt er afgørende for at minimere risikoen for at blive ofre for sådanne lumske cyberangreb.

Comments


bottom of page