Nei giorni scorsi alcuni ricercatori di ProofPoint hanno notato l’imperversare nel nostro paese di campagne email mirate ad infettare i PC delle vittime per prenderne il controllo e per installare, una volta effettuato l’accesso, il download di un altro malware. Come vediamo spesso, tali campagne si diffondono usando la tecnica dell’invio di allegati contenenti file .exe malevoli e mascherati da documenti importanti come fatture o bolle di spedizione.
La nuova minaccia si chiamerebbe WikiLoader, prendendo il nome dalla nota enciclopedia online, ed è stato diffuso come già accennato mediante l’invio di file come PDF o del pacchetto Office di Microsoft (Excel, Word, ecc…) con file dell’Agenzia delle Entrate che nascondevano un downloader, ovvero un malware che mira ad entrare nei sistemi della vittima per scaricare al suo interno un trojan, in questo caso Ursnif, già assai noto nel nostro paese. Questo per quel che riguarda le prime campagne rilevate, perché col passare dei mesi i documenti falsi sono diventati principalmente quelli di finti corrieri o cartelle compresse. Il comune denominatore comunque è sempre lo stesso: nel documento la vittima trova dei link da cliccare per visualizzare una qualche informazione aggiuntiva facendo invece partire il download di un malware.
La particolarità di WikiLoader sembra essere una grande capacità di non essere rilevato dai sistemi di protezione a causa della sua programmazione molto sofisticata e di continui aggiornamenti per passare più inosservato possibile. Dato che non diffonderebbe solo Ursnif ma anche ransomware o altri virus, l’ipotesi più accreditata è che i creatori di WikiLoader stiano noleggiando la loro risorsa ai gruppi hacker che vogliono fare breccia nei sistemi dei loro obiettivi in modo più sicuro. Le prime rilevazioni di questo nuovo malware sono iniziate a fine 2022 con dei picchi in dicembre e successivamente a febbraio 2023, ma una massiccia campagna è stata rilevata anche l’11 luglio scorso.
Ad ogni modo, le soluzioni per evitare problematiche legate a WikiLoader ed alle altre minacce simili ad esso sono sempre le stesse ovvero non aprire mai email provenienti da indirizzi sospetti e con allegati che rimandano a enti come l’Agenzia delle Entrate senza effettuare prima una adeguata verifica. Se poi tali file venissero disgraziatamente aperti il consiglio è quello di chiuderli immediatamente evitando perlomeno di fare clic su link presenti all’interno dei documenti. Per una maggiore protezione è importante dotare le proprie workstation di strumenti adeguati al riconoscimento e l’eliminazione di malware ed altre minacce, come gli EPP – EDR.