I ricercatori di Proofpoint hanno recentemente identificato un pericoloso nuovo malware noto come WikiLoader, che ha colpito per la prima volta a dicembre 2022 e sembra essere stato distribuito da TA544 con l’obiettivo di colpire specificamente le organizzazioni italiane. Questo sofisticato downloader Γ¨ progettato per installare un secondo payload malware all’interno dei sistemi colpiti, utilizzando tecniche di evasione e un codice personalizzato che rendono difficile il suo rilevamento e la sua analisi.
Da dicembre 2022, sono state registrate ben otto campagne che sfruttano WikiLoader e che si concentrano esclusivamente sull’Italia. Queste campagne sono state attuate tramite l’invio di e-mail malevole contenenti allegati di Microsoft Excel, Microsoft OneNote e PDF. Almeno due attori, TA544 e TA551, sono stati individuati come responsabili della distribuzione di questo malware mirato all’Italia.
La prima campagna, sviluppata nel dicembre scorso, ha coinvolto l’invio massiccio di e-mail malevole che sembravano provenire dall‘Agenzia delle Entrate italiane, rivolte alle aziende del paese. Gli allegati di queste e-mail contenevano macro VBA (Visual Basic for Applications) che, una volta attivate, avviavano il downloader WikiLoader.
In seguito, a febbraio 2023, Γ¨ stata individuata una versione aggiornata di WikiLoader, utilizzata in un’altra campagna sempre mirata all’Italia. Questa volta, le e-mail malevole simulavano un servizio di spedizione italiano e contenevano documenti Excel abilitati alle macro VBA, che portavano ancora una volta all’installazione di WikiLoader e al successivo download di Urnsif.
Il 11 luglio, ulteriori modifiche al malware sono state scoperte dai ricercatori, associandole a un’altra massiccia campagna. WikiLoader Γ¨ un malware sofisticato e ancora in fase di sviluppo attivo. I suoi autori sembrano apportare regolarmente modifiche per sfuggire all’individuazione e per passare inosservati. Si prevede che questo sistema possa essere utilizzato da un numero maggiore di cybercriminali, in particolare da quelli noti come IAB (Initial Access Broker) che preparano l’ingresso di malware piΓΉ pericolosi come il ransomware.
La minaccia rappresentata da WikiLoader Γ¨ significativa e richiede una risposta tempestiva da parte delle organizzazioni colpite. I difensori devono essere consapevoli di questa nuova minaccia e delle tattiche utilizzate per consegnare il payload, adottando misure adeguate per proteggere le loro organizzazioni. La consapevolezza e la formazione degli utenti, insieme a soluzioni di sicurezza avanzate, possono aiutare a mitigare i rischi associati a questa pericolosa minaccia informatica.
Quando acquisti su Amazon o sottoscrivi un abbonamento a NordVPN eΒ Amazon Prime tramite i link inclusi negli articoli, supporterai TechGaming, inoltre le Recensioni sono da considerarsi ARTICOLI SPONSORIZZATI avendo ricevuto GRATIS dai PR il materiale necessario per svolgere il lavoro. Tutte le regolamentazioni sono riportate nella pagina Disclaimer