Gli esperti di Proofpoint hanno identificato un nuovo malware, denominato WikiLoader, che prende di mira le aziende in Italia. Si tratta di un downloader che scarica un secondo payload (Ursnif) e sfrutta sofisticate tecniche di evasione per evitare la rilevazione da parte dei ricercatori di sicurezza.
WikiLoader colpisce l’Italia e le sue aziende
Sono state individuate almeno otto campagne malevole a partire da dicembre 2022. Alcune prevedono l’invio di email relative a phishing con documenti Excel in allegato che sembrano provenire dall’Agenzia delle Entrate. Cliccando sul pulsante “Visualizza” si dà il via all’esecuzione della macro VBA che scarica WikiLoader. In alternativa, viene allegato un documento che sembra provenire dal corriere GLS.
Più di recente sono state inviate email con allegati OneNote e PDF. Nel primo caso, il download di WikiLoader viene avviato quando l’utente clicca sul pulsante “Apri”. Nel secondo caso, invece, il malware è scaricato da uno script JavaScript non appena si clicca sul pulsante “Download” inserito nel PDF.
Il codice del malware è pesantemente offuscato per ostacolare l’analisi da parte dei ricercatori di sicurezza. Viene inoltre effettuata una richiesta HTTPS a Wikipedia (da cui il nome) per controllare se il dispositivo è connesso ad Internet.
Dopo vari passaggi, viene scaricato Ursnif, un trojan bancario che ruba diversi dati, tra cui le password memorizzate nei browser. Le funzionalità di WikiLoader possono però cambiare in futuro, per consentire il download di altri malware, ransomware inclusi.
In base alle rilevazioni condivide da Proofpoint, i cybercriminali hanno avviato quasi 50 campagne malware contro aziende italiane, l’80% delle quali ha ricevuto email con allegati che consentono il download di Ursnif.