Organizações na Itália são o alvo de uma nova campanha de phishing que explora uma nova cepa de malware chamada WikiLoader com o objetivo final de instalar um trojan bancário, ladrão e espião chamado Ursnif (também conhecido como Gozi).
"É um downloader sofisticado com o objetivo de instalar um segundo payload de malware", disse Proofpoint em um relatório técnico.
"O malware usa vários mecanismos para evitar detecção e provavelmente foi desenvolvido como um malware que pode ser alugado para determinados atores de ameaças cibernéticas criminais".
WikiLoader recebe esse nome devido ao malware fazer uma solicitação à Wikipedia e verificar se a resposta tem a string "The Free".
A empresa de segurança corporativa disse que detectou o malware pela primeira vez em 27 de Dezembro de 2022, em conexão com um conjunto de intrusões instalado por um ator de ameaça que rastreia como TA544, também conhecido como Bamboo Spider e Zeus Panda.
As campanhas estão focadas no uso de e-mails contendo anexos do Microsoft Excel, Microsoft OneNote ou PDF que agem como um atrativo para implantar o downloader, que é posteriormente usado para instalar o Ursnif.
Em um sinal de que o WikiLoader é compartilhado entre vários grupos de cibercriminosos, o ator de ameaça apelidado de TA551 (também conhecido como Shathak) também foi observado empregando o malware em meados de Março de 2023.
Campanhas recentes do TA544 detectadas em meados de Julho de 2023 utilizaram temas de contabilidade para propagar anexos PDF com URLs que, quando clicados, levam à entrega de um arquivo ZIP, que por sua vez, contém um arquivo JavaScript projetado para baixar e executar o WikiLoader.
O WikiLoader é fortemente ofuscado e vem com manobras evasivas para contornar software de segurança de ponto final e evitar detonação em ambientes de análise automatizados.
Também é projetado para recuperar e rodar um payload de shellcode hospedado no Discord, que é usada finalmente para lançar Ursnif.
"Está atualmente em desenvolvimento ativo, e seus autores parecem fazer mudanças regulares para tentar permanecer indetectados e passar despercebidos", disse Selena Larson, analista sênior de inteligência de ameaças na Proofpoint, em um comunicado.
"É provável que mais atores de ameaças criminais usem isso, especialmente aqueles conhecidos como corretores de acesso inicial (IABs) que conduzem atividades regulares que levam a ransomware.
Os defensores devem estar cientes deste novo malware e das atividades envolvidas na entrega de payload e tomar medidas para proteger suas organizações contra exploração".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...