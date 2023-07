Attenti a WikiLoader, colpisce l’Italia e continua a trasformarsi Identificato da Proofpoint, è un downloader che installa il malware Ursnif per colpire le aziende, e che è molto abile nell’evitare i rilevamenti. Pubblicato il 31 luglio 2023

Come ogni estate, i criminali informatici non vanno in vacanza. Una delle minacce attualmente in circolazione in Italia si chiama WikiLoader, un malware di tipo downloader (cioè che installa sul dispositivo bersaglio un secondo payload malevolo) scoperto dai ricercatori di Proofpoint a fine 2022 e distribuito dal gruppo cybercriminale noto come TA544. Dallo scorso dicembre in poi i ricercatori hanno osservato diverse campagne di attacco via email, per lo più focalizzate sull’Italia.



TA544 è un gruppo criminale che generalmente utilizza il malware Ursnif per colpire le organizzazioni italiane. E infatti WikiLoader agisce installando il payload di un altro malware, Ursnif, su cui il Csirt (Computer Security Incident Response Team) dell’Agenzia per la Cybersicurezza Nazionale aveva già diffuso un’allerta. Ursnif, noto anche come Gozi, ha iniziato a circolare nel 2018 come trojan bancario capace di rubare le credenziali di accesso ai servizi di online banking.



Tuttavia WikiLoader è in continua evoluzione ed è probabile che possa essere sfruttato anche per lanciare altri tipi di attacco, per esempio ransomware. “WikiLoader è un nuovo e sofisticato malware apparso di recente nel panorama delle minacce informatiche, finora associato alle campagne di distribuzione di Ursnif”, ha spiegato Selena Larson, senior threat intelligence analyst di Proofpoint. “Attualmente è in fase di sviluppo attivo e i suoi autori sembrano apportare regolarmente delle modifiche per cercare di non essere individuati e passare inosservati. È probabile che questo sistema venga utilizzato da un numero maggiore di cybercriminali, in particolare da quelli noti come Iab (Initial Access Broker) che svolgono regolarmente attività che conducono al ransomware”.



Da dicembre a oggi i ricercatori di Proofpoint hanno scoperto almeno otto campagne di WikiLoader diffuse via email e operate da almeno due gruppi criminali, TA544 e TA551. I messaggi contenevano allegati Microsoft Excel, Microsoft OneNote o Pdf e nel caso degli attacchi di TA544 si è sfruttato il ben noto (ma sempre meno popolare) meccanismo delle macro. Le campagne WikiLoader più significative e ad alto volume di invii sono state osservate il 27 dicembre 2022, l’8 febbraio 2023 e l’11 luglio 2023 e in tutti e tre i casi è stato installato Ursnif come payload successivo.



Nella campagna di dicembre, opera di TA544, le email malevole si spacciavano come inviate dall’Agenzia delle Entrate e contenevano un allegato Excel. Qui erano racchiuse macro Vba che, se attivate dal destinatario, eseguivano un nuovo downloader al momento non identificato (poi battezzato WikiLoader dai ricercatori di Proofpoint).



Il gruppo TA544 ha poi realizzato a febbraio di quest’anno un’altra campagna con messaggi apparentemente inviati da un servizio di spedizione italiano. Anche in questo caso l’email conteneva un allegato Excel abilitato alle macro Vba, che se attivate potevano installare WikiLoader e, nel passaggio successivo, avviare il download di Ursnif. Questa versione di WikiLoader si distingueva per la struttura più complessa, per i meccanismi di stallo aggiuntivi utilizzati per cercare di eludere l’analisi automatica e per l’uso di stringhe codificate.



(Immagine di rawpixel da Freepik)

Nella campagna più recente, rilevata a luglio, le email avevano come oggetto temi legati alla contabilità. L’allegato contenuto era un Pdf con Url che conducevano al download di un file JavaScript zippato, che se eseguito portava al download e all’esecuzione di WikiLoader. I ricercatori hanno osservato ulteriori modifiche al malware, sviluppato attivamente nel protocollo utilizzato per raggiungere i webhost compromessi, oltre all’esfiltrazione di informazioni sull’host tramite cookie Http e a meccanismi di stallo aggiuntivi (che richiedono l’esecuzione del codice per un tempo prolungato e l’elaborazione di shellcode). In questa campagna sono stati inviati più di 150mila messaggi, ad aziende italiane ma non solo.