ta544-italy-campaign-2023

# TA544 Italy Campaign 2023 > [!high] Campanha de Espionagem Financeira Direcionada a Italia > O grupo **TA544** conduziu campanhas massivas de phishing na Italia entre 2021 e 2023, distribuindo o infostealer **Ursnif** e o loader **WikiLoader** para comprometer organizacoes financeiras e governamentais italianas. Volumes de até 500 mil mensagens por campanha e técnicas avancadas de anti-sandbox caracterizaram a operação. ## Visão Geral O [[ta544]] e um grupo de ameaça financeiramente motivado rastreado pela Proofpoint, ativo desde pelo menos 2017. O grupo tem foco geografico intenso na Italia, utilizando e-mails em italiano fluente com iscos culturalmente adaptados - faturas fiscais, notificacoes juridicas e documentos contabeis - para maximizar taxas de infecção. Entre 2021 e 2023, o grupo operou campanhas persistentes distribuindo duas familias de malware distintas: o trojan bancario [[s0386-ursnif]] (também conhecido como Gozi) e o loader proprietario [[wikiloader]]. O [[wikiloader]] foi identificado pela primeira vez em campanhas TA544 em 2022 e se distingue pelo uso da Wikipedia como canal de verificação de conectividade. O malware consulta a API REST da Wikipedia para confirmar que esta em execução num sistema real - nao em sandbox - antes de ativar o payload final. Essa técnica de evasão tornou a campanha especialmente resistente a soluções de sandboxing corporativas. As campanhas atingiram volumes extraordinarios - chegando a 500 mil mensagens numa única onda - com anexos Office maliciosos, arquivos ZIP e links para download direto hospedados em infraestrutura comprometida. O geofencing implementado pelo WikiLoader confirmava o IP de origem italiano antes de ativar o payload completo, limitando infeccoes a alvos italianos e dificultando análise por pesquisadores fora da Italia. O impacto direto para o Brasil e LATAM e limitado, dado o foco geografico exclusivo do grupo na Italia. No entanto, as técnicas de geofencing e verificação de ambiente do TA544 servem como referência operacional para grupos que operam na regiao com TTPs similares, como os operadores do [[grandoreiro-banking-campaign]] e outros trojans bancarios direcionados ao setor financeiro brasileiro e latino-americano. ## Attack Flow ```mermaid graph TB A["📧 Phishing em Massa 500K+ e-mails em italiano iscos fiscais e juridicos"] --> B["📎 Vetor de Entrega Anexo Office/ZIP ou link de download"] B --> C["⚙️ Execução de Macro VBA ou XLL add-in User Execution T1204"] C --> D["🔍 Verificação de Ambiente WikiLoader consulta api.wikipedia.org"] D --> E{"Sistema Real?"} E -- "Sim - IP italiano" --> F["💉 Deploy Ursnif Infostealer bancario Web injects HTTPS"] E -- "Sandbox detectada" --> G["🛑 Encerramento Silencioso Sem payload ativo Evasão de análise"] F --> H["🌐 C2 via HTTPS Geofencing ativo Exfiltração de credenciais"] H --> I["💰 Monetização Credenciais bancarias Acesso corporativo"] ``` ### Persistência e Técnicas de Evasão ```mermaid graph TB A["WikiLoader Entregue"] --> B["DLL Sideloading via app legitimo assinado"] B --> C["Registro Windows HKCU Run Key Persistência T1547"] C --> D["Injecao de Processo explorer.exe ou browsers T1055"] D --> E["Web Injects Ursnif Interceptação HTTPS Capturas de credenciais"] E --> F["Anti-análise Multicamadas Wikipedia check Geofencing por IP"] F --> G["Exfiltração para C2 Dados financeiros Cookies de sessao bancaria"] ``` ## Cronologia | Data | Evento | |------|--------| | 2021-01 | Primeiras campanhas TA544 com Ursnif direcionadas exclusivamente a Italia | | 2022-07 | WikiLoader documentado pela primeira vez pela Proofpoint em campanhas TA544 | | 2022-08 | Campanhas com volume de 500 mil e-mails em único dia registradas pela Proofpoint | | 2023-01 | WikiLoader adota verificação via API Wikipedia como técnica anti-sandbox primaria | | 2023-06 | Proofpoint pública análise detalhada do WikiLoader e atribui formalmente ao TA544 | | 2023-09 | Campanhas distribuindo Ursnif e WikiLoader simultaneamente em ondas paralelas | | 2023-12 | Reducao de atividade observada; TA544 desloca foco para novas TTPs | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | E-mails em massa com iscos fiscais e juridicos em italiano perfeito | | [[t1204-user-execution\|T1204]] | User Execution | Abertura de macro em documentos Office maliciosos | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Payload WikiLoader ofuscado com múltiplas camadas de ofuscacao | | [[t1071-application-layer-protocol\|T1071]] | Application Layer Protocol | C2 via HTTPS; verificação de ambiente via API REST Wikipedia | | [[t1497-virtualization-sandbox-evasion\|T1497]] | Sandbox Evasion | Consulta api.wikipedia.org para verificar ambiente de execução real | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart Execution | Persistência via registro Windows Run key | | [[t1055-process-injection\|T1055]] | Process Injection | Injecao em processos legitimos (explorer.exe, browsers) | | [[t1083-file-and-directory-discovery\|T1083]] | File and Directory Discovery | Reconhecimento do ambiente antes do deploy do payload final | ## Vitimas e Alvos O [[ta544]] demonstrou foco geografico altamente concentrado na Italia: - **Setor financeiro italiano**: Bancos regionais, cooperativas de credito, gestoras de patrimonio - **Empresas de tecnologia**: Provedores de servicos gerenciados (MSPs) italianos - **Entidades governamentais**: Municipios, agencias regionais, orgaos públicos italianos - **Pequenas e medias empresas**: PMEs italianas com menor maturidade de segurança O geofencing por IP italiano implementado no WikiLoader limitou infeccoes confirmadas a alvos na Italia, dificultando telemetria global sobre o escopo real de vitimas. ## Relevância LATAM Embora a campanha seja geograficamente restrita a Italia, ela apresenta relevância técnica para a regiao: > [!latam] Impacto Indireto para Brasil e LATAM > As técnicas de **geofencing geografico** e **verificação de ambiente pre-payload** do TA544 sao amplamente replicadas por grupos direcionados ao Brasil. Trojans bancarios como **Grandoreiro**, **Mekotio** e **Guildma** utilizam verificacoes de idioma do sistema, layout de teclado e fuso horario para ativar payloads apenas em alvos brasileiros e latino-americanos - um modelo analogo ao WikiLoader. Variantes do **Ursnif** foram identificadas em campanhas no Brasil em 2022-2023. - Grupos como operadores do [[grandoreiro-banking-campaign]] e [[mekotio-banking-trojan]] replicam o modelo de geofencing para ativacao condicional de payloads - O modelo de distribuição via phishing de alto volume em idioma nativo e padrao estabelecido no Brasil - Técnicas de DLL sideloading e injecao de processo do WikiLoader sao comuns em loaders brasileiros modernos ## Mitigação e Detecção - **Desabilitar macros por padrao** em documentos Office provenientes de fontes externas via Group Policy - **Filtros de email com análise de conteudo** para detectar documentos Office com macros em e-mails de alto volume - **Monitoramento de DNS** para consultas incomuns a `api.wikipedia.org` por processos nao-browser (indicador do WikiLoader) - **EDR com detecção de injecao de processo** para identificar WikiLoader injetando em explorer.exe ou processos de browser - **Bloqueio de DLL sideloading** - monitorar carregamento de DLLs nao-assinadas por aplicativos legitimos conhecidos - Aplicar [[m1049-antivirus-endpoint-protection]] e [[m1031-network-intrusion-prevention]] em bordas de rede ## Referências - [Proofpoint - WikiLoader Targets Italian Organizations (Jun 2023)](https://www.proofpoint.com/us/blog/threat-insight/wikiloader-spins-web-new-backdoor-target-italian-organizations) - [Proofpoint - TA544 Threat Actor Profile](https://www.proofpoint.com/us/blog/threat-insight/ta544-targets-italian-organizations-wikiloader) - [MITRE ATT&CK - TA544 (G1017)](https://attack.mitre.org/groups/G1017/) - [ANY.RUN - WikiLoader Behavioral Analysis](https://any.run/cybersecurity-blog/wikiloader-malware/)