Uma nova campanha de malware está falsificando o software program GlobalProtect VPN da Palo Alto Networks para entregar uma variante do carregador WikiLoader (também conhecido como WailingCrab) por meio de uma campanha de otimização de mecanismos de busca (search engine optimization).
A atividade de malvertising, observada em junho de 2024, é um afastamento das táticas observadas anteriormente, nas quais o malware period propagado por meio de e-mails de phishing tradicionais, disseram os pesquisadores da Unidade 42, Mark Lim e Tom Marsden.
O WikiLoader, documentado pela primeira vez pela Proofpoint em agosto de 2023, foi atribuído a um agente de ameaça conhecido como TA544, com os ataques por e-mail aproveitando o malware para implantar o Danabot e o Ursnif.
Então, no início de abril, a empresa sul-coreana de segurança cibernética AhnLab detalhou uma campanha de ataque que utilizou uma versão trojanizada de um plugin Notepad++ como vetor de distribuição.
Dito isso, suspeita-se que o carregador para aluguel seja usado por pelo menos dois corretores de acesso inicial (IABs), de acordo com a Unidade 42, afirmando que as cadeias de ataque são caracterizadas por táticas que permitem que ele evite a detecção por ferramentas de segurança.
“Os invasores geralmente usam o envenenamento de search engine optimization como um vetor de acesso inicial para induzir as pessoas a visitar uma página que falsifica o resultado de pesquisa legítimo para entregar malware em vez do produto pesquisado”, disseram os pesquisadores.
“A infraestrutura de entrega desta campanha aproveitou websites clonados renomeados como GlobalProtect, juntamente com repositórios Git baseados na nuvem.”
Dessa forma, os usuários que acabam pesquisando pelo software program GlobalProtect veem anúncios do Google que, ao clicar, redirecionam os usuários para uma página falsa de obtain do GlobalProtect, efetivamente acionando a sequência de infecção.
O instalador MSI inclui um executável (“GlobalProtect64.exe”) que, na realidade, é uma versão renomeada de um aplicativo legítimo de negociação de ações da TD Ameritrade (agora parte da Charles Schwab) usado para carregar uma DLL maliciosa chamada “i4jinst.dll”.
Isso abre caminho para a execução do shellcode que passa por uma sequência de etapas para, finalmente, baixar e iniciar o backdoor do WikiLoader de um servidor remoto.
Para melhorar ainda mais a legitimidade percebida do instalador e enganar as vítimas, uma mensagem de erro falsa é exibida no last de todo o processo, informando que certas bibliotecas estão faltando nos computadores Home windows.
Além de usar versões renomeadas de software program legítimo para fazer o sideload do malware, os agentes de ameaças incorporaram verificações antianálise que determinam se o WikiLoader está sendo executado em um ambiente virtualizado e se encerram quando processos relacionados ao software program da máquina digital são encontrados.
Embora o motivo da mudança de phishing para envenenamento de search engine optimization como mecanismo de disseminação não esteja claro, a Unidade 42 teorizou que é possível que a campanha seja obra de outro IAB ou que grupos existentes que distribuem o malware o tenham feito em resposta à divulgação pública.
“A combinação de infraestrutura falsificada, comprometida e legítima aproveitada pelas campanhas do WikiLoader reforça a atenção dos autores de malware em construir um carregador operacionalmente seguro e robusto, com múltiplas configurações (de comando e controle)”, disseram os pesquisadores.
A divulgação ocorre dias após a Development Micro descobrir uma nova campanha que também utiliza um software program falso GlobalProtect VPN para infectar usuários no Oriente Médio com malware de backdoor.