Hacker đang nhắm mục tiêu vào các tổ chức Ý bằng một chiến dịch lừa đảo nhằm phát tán mã độc mới có tên WikiLoader.
Mã độc được biết đến lần đầu vào tháng 12/2022 cung cấp bởi TA544 – nhóm hacker thường sử dụng mã độc Ursnif để nhắm mục tiêu vào các tổ chức của Ý. Các chuyên gia đã theo dõi nhiều chiến dịch tiếp theo, phần lớn trong số đó vẫn ‘kiên trì’ nhắm tới các mục tiêu này.
WikiLoader là một trình tải xuống (downloader) với mục tiêu cài đặt payload thứ hai. Mã độc sở hữu các kỹ thuật lẩn trốn và triển khai mã tùy chỉnh tinh vi để tránh bị phát hiện.
Chuỗi tấn công WikiLoader bắt đầu bằng các email chứa tệp đính kèm Microsoft Office hoặc PDF độc hại. Các chuyên gia Proofpoint đã phát hiện ít nhất 8 chiến dịch phát tán mã độc kể từ tháng 12/2022.
Hồi tháng 2/2023, hacker đã mạo danh một dịch vụ chuyển phát nhanh của Ý, đính kèm tệp excel đính kèm chứa macro VBA mà khi được kích hoạt sẽ bắt đầu quá trình cài đặt WikiLoader. Vào tháng 7, TA544 đã sử dụng các chủ đề kế toán để gửi các tệp đính kèm PDF có URL để tải JavaScript zip, từ đó tải và thực thi WikiLoader.
Các nhà nghiên cứu cho rằng mã độc đang phát triển nhanh chóng và hacker đang tiếp tục cải thiện nó.
Nguồn: Security Affairs