Cyberthreat.id - Organisasi di Italia menjadi target kampanye phishing baru yang memanfaatkan jenis malware baru yang disebut WikiLoader dengan tujuan akhir untuk menginstal trojan perbankan, pencuri, dan spyware yang disebut Ursnif (alias Gozi).

"Ini adalah pengunduh canggih dengan tujuan memasang muatan malware kedua," kata Proofpoint dalam laporan teknis sebagaimana dikutip The Hacker News.

"Malware menggunakan banyak mekanisme untuk menghindari deteksi dan kemungkinan dikembangkan sebagai malware yang dapat disewa untuk memilih aktor ancaman penjahat dunia maya."

WikiLoader dinamai demikian karena malware membuat permintaan ke Wikipedia dan memeriksa apakah responsnya memiliki string "Gratis".

Firma keamanan perusahaan mengatakan pertama kali mendeteksi malware di alam liar pada 27 Desember 2022, sehubungan dengan set intrusi yang dipasang oleh aktor ancaman yang dilacaknya sebagai TA544, yang juga dikenal sebagai Bamboo Spider dan Zeus Panda.

Kampanye tersebut berpusat pada penggunaan email yang berisi lampiran Microsoft Excel, Microsoft OneNote, atau PDF yang bertindak sebagai umpan untuk menyebarkan pengunduh, yang selanjutnya digunakan untuk menginstal Ursnif.

Sebagai tanda bahwa WikiLoader dibagikan di antara beberapa kelompok kejahatan dunia maya, aktor ancaman yang dijuluki TA551 (alias Shathak) juga telah diamati menggunakan malware pada akhir Maret 2023.

Trojan Perbankan

Kampanye TA544 terbaru yang terdeteksi pada pertengahan Juli 2023 telah menggunakan tema akuntansi untuk menyebarkan lampiran PDF dengan URL yang, saat diklik, mengarah ke pengiriman file arsip ZIP, yang, pada gilirannya, mengemas file JavaScript yang dirancang untuk mengunduh dan menjalankan WikiLoader.

WikiLoader sangat dikaburkan dan dilengkapi dengan manuver mengelak untuk mem-bypass perangkat lunak keamanan titik akhir dan menghindari ledakan di lingkungan analisis otomatis.

Itu juga direkayasa untuk mengambil dan menjalankan muatan kode shell yang dihosting di Discord, yang pada akhirnya digunakan untuk meluncurkan Ursnif.

"Saat ini sedang dalam pengembangan aktif, dan penulisnya tampaknya membuat perubahan reguler untuk mencoba dan tetap tidak terdeteksi dan terbang di bawah radar," kata Selena Larson, analis intelijen ancaman senior di Proofpoint, dalam sebuah pernyataan.

"Kemungkinan lebih banyak pelaku ancaman kriminal akan menggunakan ini, terutama yang dikenal sebagai broker akses awal (IAB) yang melakukan aktivitas rutin yang mengarah ke ransomware. Pembela harus menyadari malware baru ini dan aktivitas yang terlibat dalam pengiriman muatan, dan mengambil langkah untuk melindungi organisasi mereka dari eksploitasi."[]