Cyber Crime, WikiLoader noleggiato per diffondere il trojan Ursnif

I ricercatori di Proofpoint hanno identificato un nuovo malware chiamato WikiLoader prendere di mira le organizzazioni in Italia con l’obiettivo di installare il trojan bancario Ursnif/Gozi come payload di seconda fase.

Questo downloader sofisticato sarebbe stato ribattezzato dai ricercatori con il nome di “WikiLoader” perché effettuerebbe una richiesta a Wikipedia (controllando che la risposta contenga la stringa “The Free“).

Questa è probabilmente una manovra evasiva per impedire la detonazione in ambienti di analisi automatizzati e per garantire che il dispositivo sia connesso a Internet e non in un ambiente simulato bloccato da connessioni esterne“, spiega Proofpoint nel suo rapporto.

La catena d’infezione

Il malware, disponibile a noleggio nei market clandestini, utilizzerebbe inoltre diversi meccanismi per eludere il rilevamento, prima di recuperare ed eseguire un payload shellcode ospitato su Discord e utilizzato per avviare infine Ursnif. La catena d’infezione avrebbe inizio con e-mail contenenti come esca allegati Microsoft Excel, Microsoft OneNote e PDF.

La catena d’infezione (Fonte Proofpoint)

La matrice delle campagne

Proofpoint avrebbe osservato WikiLoader distribuito in campagne rivolte all’Italia da almeno due autori di minacce (TA544 e TA551). Le campagne più importanti sarebbero state rilevate il 27 dicembre 2022, l’8 febbraio 2023 e l’11 luglio 2023.

Campagne rilevate (Fonte Proofpoint)

In particolare le campagne attribuite all’attore TA544 e rilevate a metà luglio 2023 avrebbero utilizzato temi di contabilità per propagare allegati PDF con link che puntano ad archivi .ZIP, contenenti file JavaScript deputati a scaricare ed eseguire WikiLoader.

Considerazioni finali

Finora, Proofpoint ha osservato solo WikiLoader consegnare Ursnif come payload di seconda fase. Tuttavia, dato il suo utilizzo da parte di più attori delle minacce, è possibile che più attori ecrime, in particolare quelli che operano come IAB (Initial Access Brokers), utilizzino WikiLoader in futuro come meccanismo per fornire ulteriori payload di malware.“, dichiarano KELSEY MERRIMAN E PIM TROUERBACH e concludono

Sulla base dell’analisi di più versioni, Proofpoint valuta con grande sicurezza che questo malware sia in rapido sviluppo e che gli attori delle minacce stiano tentando di rendere il loader più complicato e il payload più difficile da recuperare.”

Alla luce di tutto, gli esperti consigliano in particolare:

  • di tenere disabilitate le macro per impostazione predefinita;
  • di bloccare l’esecuzione di file esterni incorporati all’interno dei documenti OneNote;
  • di garantire per impostazione predefinita l’apertura dei file JavaScript come documenti di testo

Proofpoint desidera ringraziare il cacciatore di malware italiano @JAMESWT_MHT per l’identificazione e il caricamento dei campioni correlati alle campagne. 

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.