ICH Proofpoint-Forscher haben eine Malware identifiziert, die Italien betrifft: WikiLoader. Verbreitet von TA544, einem Akteur, der für die Verwendung der Ursnif-Malware bekannt ist, sahen Forscher ihn erstmals im Dezember 2022. Seitdem richteten sich mehrere Kampagnen hauptsächlich gegen Italien.
WikiLoader ist die neue Malware, die Italien befällt
WikiLoader ist ein Downloader für Installieren Sie eine zweite Malware-Payload. Es bietet erweiterte Umgehungstechniken sowie die Implementierung von benutzerdefiniertem Code für die Erkennung und Analyse behindern.
Momentan, WikiLoader befindet sich in aktiver Entwicklung und seine Autoren nehmen regelmäßig Änderungen vor, um einer Entdeckung zu entgehen und unbemerkt zu bleiben. Es dürfte von immer mehr Cyberkriminellen genutzt werden, insbesondere für IAB (Initial Access Broker), der Ransomware-bezogene Aktivitäten erleichtert.
Selena LarsonSenior Threat Intelligence Analyst bei Proofpoint, kommentiert: „Verteidiger sollten sich dieser neuen Malware und der in der Nutzlastlieferung enthaltenen Aktivitäten bewusst sein und Maßnahmen ergreifen, um ihre Organisationen zu schützen.“
Seit Dezember 2022 ermitteln Forscher von Proofpoint acht WikiLoader-Verteilungskampagnen. Die Kampagnen, zugeschrieben TA544 und TA551Sie zielten hauptsächlich auf Italien ab.
Angriffe beginnen mit bösartigen E-Mails mit Microsoft Excel-, Microsoft OneNote- oder PDF-Anhängen. VBA-Makros in Dokumenten haben den Download ausgelöst Sie führen WikiLoader aus, der dann die Ursnif-Malware herunterlädt.
Der jüngste Angriff vom 11. Juli 2023 zeigte weitere Änderungen an der Schadsoftware, einschließlich buchhaltungsbezogener Themen in Nachrichten und der Verwendung von PDF-Anhängen mit Malware-Download-URLs. Die Kampagnen wirkten sich auf zahlreiche italienische Organisationen aus und erwiesen sich als umfangreich über 150.000 Nachrichten.
Weitere Informationen finden Sie auf der Proofpoint-Website.