Empresas na Itália estão sendo alvo de uma nova campanha de phishing que utiliza um novo tipo de malware chamado WikiLoader, com o objetivo final de instalar um trojan bancário, um spyware e um rastreador conhecido como Ursnif.

O WikiLoader é um downloader sofisticado que busca instalar um segundo malware. Esse malware usa diversas técnicas para evitar a detecção e provavelmente foi desenvolvido para ser alugado por grupos de cibercriminosos selecionados.

As campanhas de phishing giram em torno do uso de e-mails contendo anexos do Microsoft Excel, Microsoft OneNote ou PDF, que servem como isca para implantar o downloader e, posteriormente, instalar o Ursnif.

Os autores do malware estão constantemente fazendo alterações para permanecerem indetectáveis. As campanhas recentes, detectadas em julho de 2023, utilizaram temas contábeis para propagar anexos em PDF com URLs que, quando clicadas, levam ao download de um arquivo ZIP contendo um arquivo JavaScript projetado para baixar e executar o WikiLoader.