Criminali informatici attivi anche d’estate: WikiLoader, un pericoloso downloader in circolazione in Italia
WikiLoader, un malware di tipo downloader scoperto dai ricercatori di Proofpoint alla fine del 2022 e distribuito dal gruppo cybercriminale noto come TA544, sta minacciando aziende italiane. TA544 utilizza WikiLoader per installare il malware Ursnif, noto anche come Gozi, un trojan bancario capace di rubare le credenziali di accesso ai servizi di online banking. Tuttavia, WikiLoader è in continua evoluzione e potrebbe essere utilizzato per altri tipi di attacchi, come il ransomware.
Dal dicembre 2022, sono state scoperte diverse campagne di attacco via email, con almeno due gruppi criminali, TA544 e TA551, dietro le operazioni. Gli allegati malevoli sono stati mascherati come file Microsoft Excel, Microsoft OneNote o Pdf e, nel caso degli attacchi di TA544, sono state utilizzate le macro per eseguire il download di WikiLoader. Le campagne più significative e con un alto volume di invii si sono verificate il 27 dicembre 2022, l’8 febbraio 2023 e l’11 luglio 2023, tutte con Ursnif come payload successivo.
TA544 ha dimostrato ingegnosità nella creazione delle campagne malevoli, utilizzando diverse tecniche di stallo e codifiche per eludere l’analisi automatica. L’ultima campagna a luglio ha coinvolto email con oggetti legati alla contabilità, contenenti allegati Pdf che portavano al download di un file JavaScript zippato, che successivamente scaricava e avviava WikiLoader. In questa campagna, oltre 150.000 messaggi sono stati inviati a aziende italiane e non solo.
Gli esperti di sicurezza avvertono che WikiLoader è un nuovo e sofisticato malware, in costante sviluppo per eludere i sistemi di rilevamento e potrebbe essere utilizzato da più cybercriminali, inclusi quelli noti come Iab (Initial Access Broker), che spesso conducono attacchi ransomware.
