Malware spaventa l'Italia, anche l'Agenzia delle Entrate nel mirino

Un nuovo malware, noto come WikiLoader, sembra aver preso di mira il nostro paese.

Stiamo parlando di un agente malevolo che, a quanto pare, utilizza siti Web fraudolenti spacciandosi per l’Agenzia delle Entrate o per società di corrieri. Il fine di tali siti, a quanto pare, è quello di diffondere un trojan bancario tra gli utenti italiani.

Stando alle ricerche di Proofpoint, questo downloader è riconducibile al gruppo di cybercriminali noto come TA544 visto che, come d’abitudine per questi hacker, WikiLoader agisce attraverso il trojan Ursnif.

I ricercatori spiegato anche il perché di questo nome “Si chiama WikiLoader a causa del malware che effettua una richiesta a Wikipedia e controlla che la risposta contenga la stringa “The Free” nel contenuto“.

Secondo Proofpoint, WikiLoader ha cominciato la sua azione nel dicembre 2022 attraverso ben otto diverse campagne.

WikiLoader: come funziona questo temibile malware

Le campagne relative a questo malware si svolgono tutte in modo alquanto simile. Si parla di e-mail contenenti allegati Microsoft Excel, OneNote o un classico file PDF. I ricercatori hanno osservato che WikiLoader, fin dalle sue prime apparizioni, ha sempre avuto una particolare “predilezione” per l’Italia.

A dispetto alle mosse di Microsoft rispetto alle macro di Office, i cybercriminali sembrano aver continuato ad agire in questo contesto.

Per gli esperti, infatti “Gli allegati di Microsoft Excel contengono macro VBA caratteristiche che, se abilitate dal destinatario, vanno a scaricare ed eseguire un nuovo downloader non identificato che i ricercatori di Proofpoint alla fine hanno soprannominato WikiLoader“.

Secondo Selena Larson, analista senior di Proofpoint “Sembra che i suoi autori apportino modifiche regolari per cercare di rimanere inosservati. È probabile che più attori di minacce criminali lo utilizzino, in particolare quelli noti come broker di accesso iniziale che conducono attività regolari che portano al ransomware“.

Per gli utenti, i consigli di prevenzione restano sempre gli stessi, così come per qualunque altro malware: prudenza massima rispetto ad eventuali allegati e-mail sospetti e un’adeguata protezione attraverso suite di sicurezza e antivirus.