Un nuovo malware, noto come WikiLoader, sembra aver preso di mira il nostro paese.
Stiamo parlando di un agente malevolo che, a quanto pare, utilizza siti Web fraudolenti spacciandosi per l’Agenzia delle Entrate o per società di corrieri. Il fine di tali siti, a quanto pare, è quello di diffondere un trojan bancario tra gli utenti italiani.
Stando alle ricerche di Proofpoint, questo downloader è riconducibile al gruppo di cybercriminali noto come TA544 visto che, come d’abitudine per questi hacker, WikiLoader agisce attraverso il trojan Ursnif.
I ricercatori spiegato anche il perché di questo nome “Si chiama WikiLoader a causa del malware che effettua una richiesta a Wikipedia e controlla che la risposta contenga la stringa “The Free” nel contenuto“.
Secondo Proofpoint, WikiLoader ha cominciato la sua azione nel dicembre 2022 attraverso ben otto diverse campagne.
WikiLoader: come funziona questo temibile malware
Le campagne relative a questo malware si svolgono tutte in modo alquanto simile. Si parla di e-mail contenenti allegati Microsoft Excel, OneNote o un classico file PDF. I ricercatori hanno osservato che WikiLoader, fin dalle sue prime apparizioni, ha sempre avuto una particolare “predilezione” per l’Italia.
A dispetto alle mosse di Microsoft rispetto alle macro di Office, i cybercriminali sembrano aver continuato ad agire in questo contesto.
Per gli esperti, infatti “Gli allegati di Microsoft Excel contengono macro VBA caratteristiche che, se abilitate dal destinatario, vanno a scaricare ed eseguire un nuovo downloader non identificato che i ricercatori di Proofpoint alla fine hanno soprannominato WikiLoader“.
Secondo Selena Larson, analista senior di Proofpoint “Sembra che i suoi autori apportino modifiche regolari per cercare di rimanere inosservati. È probabile che più attori di minacce criminali lo utilizzino, in particolare quelli noti come broker di accesso iniziale che conducono attività regolari che portano al ransomware“.
Per gli utenti, i consigli di prevenzione restano sempre gli stessi, così come per qualunque altro malware: prudenza massima rispetto ad eventuali allegati e-mail sospetti e un’adeguata protezione attraverso suite di sicurezza e antivirus.