Des organisations italiennes sont la cible d’une nouvelle campagne de phishing qui exploite une nouvelle souche de logiciels malveillants appelée WikiLoaderComment dans le but ultime d’installer un cheval de Troie bancaire, un voleur et un logiciel espion appelé Ursnif (alias Gozi).
« Il s’agit d’un téléchargeur sophistiqué dont l’objectif est d’installer une deuxième charge utile de malware », a déclaré Proofpoint dans un rapport technique. « Le malware utilise plusieurs mécanismes pour échapper à la détection et a probablement été développé comme un malware qui peut être loué pour sélectionner des acteurs de la menace cybercriminelle. »
WikiLoader est ainsi nommé en raison du fait que le logiciel malveillant fait une demande à Wikipedia et vérifie que la réponse contient la chaîne « The Free ».
La société de sécurité d’entreprise a déclaré avoir détecté pour la première fois le logiciel malveillant dans la nature le 27 décembre 2022, en relation avec un ensemble d’intrusions monté par un acteur menaçant qu’il suit sous le nom de TA544, également connu sous le nom de Bamboo Spider et Zeus Panda.
Les campagnes sont centrées sur l’utilisation d’e-mails contenant des pièces jointes Microsoft Excel, Microsoft OneNote ou PDF qui agissent comme un leurre pour déployer le téléchargeur, qui est ensuite utilisé pour installer Ursnif.
Signe que WikiLoader est partagé entre plusieurs groupes de cybercriminalité, l’acteur menaçant surnommé TA551 (alias Shathak) a également été observé en train d’utiliser le logiciel malveillant à la fin mars 2023.
Les récentes campagnes TA544 détectées à la mi-juillet 2023 ont utilisé des thèmes comptables pour propager des pièces jointes PDF avec des URL qui, lorsqu’elles sont cliquées, conduisent à la livraison d’un fichier d’archive ZIP, qui, à son tour, contient un fichier JavaScript conçu pour télécharger et exécuter WikiLoader.
WikiLoader est fortement obscurci et est livré avec des manœuvres évasives pour contourner le logiciel de sécurité des terminaux et éviter la détonation dans les environnements d’analyse automatisés. Il est également conçu pour récupérer et exécuter une charge utile de shellcode hébergée sur Discord, qui est finalement utilisée pour lancer Ursnif.
« Il est actuellement en cours de développement actif et ses auteurs semblent apporter des modifications régulières pour essayer de rester non détectés et de voler sous le radar », a déclaré Selena Larson, analyste principale du renseignement sur les menaces chez Proofpoint, dans un communiqué.
« Il est probable que davantage d’acteurs de la menace criminelle l’utiliseront, en particulier ceux connus sous le nom de courtiers d’accès initial (IAB) qui mènent des activités régulières menant à des ransomwares. Les défenseurs doivent être conscients de ce nouveau malware et des activités impliquées dans la livraison de la charge utile, et prendre des mesures pour protéger leurs organisations contre l’exploitation. »
