I ricercatori di Proofpoint hanno identificato un malware che sta colpendo l’Italia: WikiLoader. Distribuito da TA544, un attore noto per l’utilizzo del malware Ursnif, i ricercatori l’hanno visto la prima volta a dicembre 2022. E da allora diverse campagne hanno preso di mira principalmente l’Italia.
WikiLoader è il nuovo malware che colpisce l’Italia
WikiLoader è un downloader progettato per installare un secondo payload malware. Presenta tecniche di evasione avanzate, insieme a un’implementazione personalizzata del codice per ostacolare il rilevamento e l’analisi.
Attualmente, WikiLoader è in fase di sviluppo attivo e i suoi autori apportano regolari modifiche per evitare il rilevamento e passare inosservati. È probabile che venga utilizzato da un numero crescente di cybercriminali, in particolare per attività IAB (Initial Access Broker) che facilitano attività legate al ransomware.
Come proteggere i tuoi dati? Scopri Bitdefender qui, Leader mondiale in Cybersecurity
Selena Larson, senior threat intelligence analyst di Proofpoint, commenta: “I difensori dovrebbero essere consapevoli di questo nuovo malware e delle attività incluse nella consegna del payload, adottando misure per proteggere le loro organizzazioni”.
Da dicembre 2022, i ricercatori di Proofpoint hanno individuato otto campagne di distribuzione di WikiLoader. Le campagne, attribuite a TA544 e TA551, hanno principalmente preso di mira l’Italia.
Gli attacchi iniziano con email malevole contenenti allegati Microsoft Excel, Microsoft OneNote o PDF. Le macro VBA nei documenti attivano il download ed eseguono WikiLoader, che successivamente scarica il malware Ursnif.
L’ultimo attacco, il 11 luglio 2023, ha mostrato ulteriori modifiche al malware, inclusi temi legati alla contabilità nei messaggi e l’utilizzo di allegati PDF con URL per il download del malware. Le campagne hanno colpito numerose organizzazioni italiane e si sono dimostrate ad alto volume, con oltre 150.000 messaggi.
Potete approfondire sul sito di Proofpoint.
- Giuliani, Luca (Autore)