Nova kampanja zlonamjernog softvera lažira softver GlobalProtect VPN kompanije Palo Alto Networks kako bi isporučio varijantu učitavača WikiLoader (aka WailingCrab) pomoću kampanje za optimizaciju pretraživača (SEO).
WikiLoader, koji je prvi put dokumentovao Proofpoint u avgustu 2023., pripisan je haker poznatom kao TA544, s napadima putem e-pošte koji koriste zlonamjerni softver za implementaciju Danabota i Ursnifa.
Ranije ovog aprila, južnokorejska kompanija za cyber sigurnost AhnLab je detaljno opisala kampanju napada koja je koristila trojanizovanu verziju dodatka Notepad++ kao vektor distribucije.
Uz to, sumnja se da utovarivač za iznajmljivanje koriste najmanje dva posrednika za početni pristup (IAB), po jedinici 42, navodeći da lance napada karakteriziraju taktike koje mu omogućavaju da izbjegne otkrivanje sigurnosnih alata.
“Napadači obično koriste SEO trovanje kao početni vektor pristupa kako bi naveli ljude da posjete stranicu koja lažira legitimne rezultate pretraživanja kako bi isporučila zlonamjerni softver, a ne traženi proizvod”, rekli su istraživači.
“Infrastruktura za isporuku ove kampanje koristila je klonirane web stranice preimenovane u GlobalProtect zajedno sa Git repozitorijumima u oblaku.”
Dakle, korisnicima koji na kraju pretražuju softver GlobalProtect prikazuju se Google oglasi koji, nakon klika, preusmjeravaju korisnike na lažnu stranicu za preuzimanje GlobalProtect-a, efektivno pokrećući sekvencu infekcije.
MSI instalater uključuje izvršnu datoteku (“GlobalProtect64.exe”) koja je, u stvari, preimenovana verzija legitimne aplikacije za trgovanje dionicama iz TD Ameritrade (sada dio Charles Schwab) koja se koristi za učitavanje zlonamjernog DLL-a pod nazivom “i4jinst.dll”. “
Ovo utire put za izvršavanje shellcode-a koji prolazi niz koraka da bi konačno preuzeo i pokrenuo WikiLoader backdoor sa udaljenog servera.
Da bi se dodatno poboljšao uočeni legitimitet instalatera i zavarale žrtve, lažna poruka o grešci se prikazuje na kraju cijelog procesa, u kojoj se navodi da određene biblioteke nedostaju na njihovim Windows računarima.
Osim što koriste preimenovane verzije legitimnog softvera za bočno učitavanje zlonamjernog softvera, hakeri su uključili anti-analitske provjere koje određuju da li WikiLoader radi u virtueliziranom okruženju i prekida se kada se pronađu procesi povezani sa softverom virtualne mašine.
Iako je razlog za prelazak sa phishing na SEO trovanje kao mehanizam širenja nejasan, Jedinica 42 teoretizira da je moguće da je kampanja djelo drugog IAB-a ili da su postojeće grupe koje isporučuju zlonamjerni softver to učinile kao odgovor na javno objavljivanje.
“Kombinacija lažirane, ugrožene i legitimne infrastrukture koju koriste WikiLoader kampanje pojačava pažnju autora zlonamjernog softvera na izgradnju operativno sigurnog i robusnog učitavača, s višestrukim [komandnim i kontrolnim] konfiguracijama”, rekli su istraživači.
Otkrivanje dolazi nekoliko dana nakon što je Trend Micro otkrio novu kampanju koja takođe koristi lažni GlobalProtect VPN softver za zarazu korisnika na Bliskom istoku s backdoor zlonamjernim softverom.
Izvor:The Hacker News
