一个新的恶意软件活动正在欺骗 Palo Alto Networks 的 GlobalProtect VPN 软件,通过搜索引擎优化 (SEO) 活动提供 WikiLoader(又名 WailingCrab)加载程序的变体。
Unit 42 研究人员 Mark Lim 和 Tom Marsden 表示,2024 年 6 月观察到的恶意广告活动与以前观察到的策略不同,在这种策略中,恶意软件是通过传统的网络钓鱼电子邮件传播的。
WikiLoader 于 2023 年 8 月由 Proofpoint 首次记录,被归因于一个名为 TA544 的威胁行为者,电子邮件攻击利用该恶意软件部署 Danabot 和 Ursnif。
然后在今年 4 月早些时候,韩国网络安全公司 AhnLab 详细介绍了一个攻击活动,该活动利用 Notepad++ 插件的木马版本作为分发媒介。
也就是说,每个 Unit 42 怀疑至少有两个初始访问代理 (IAB) 使用出租的加载程序,并表示攻击链的特点是允许其逃避安全工具的检测。
“攻击者通常使用 SEO 中毒作为初始访问媒介,诱骗人们访问欺骗合法搜索
因此,最终搜索 GlobalProtect 软件的用户会看到 Google 广告,点击后,这些广告会将用户重定向到虚假的 GlobalProtect 下载页面,从而有效地触发感染序列。
MSI 安装程序包括一个可执行文件(“GlobalProtect64.exe”),实际上,它是 TD Ameritrade(现在是 Charles Schwab 的一部分)的合法股票交易应用程序的重命名版本,用于旁加载名为“i4jinst.dll”的恶意 DLL。
这为执行 shellcode 铺平了道路,shellcode 会经过一系列步骤,最终从远程服务器下载和启动 WikiLoader 后门。
为了进一步提高安装程序的合法性并欺骗受害者,在整个过程结束时会显示一条虚假错误消息,指出他们的 Windows 计算机中缺少某些库。
除了使用合法软件的重命名版本来旁加载恶意软件外,威胁行为者还加入了反分析检查,以确定 WikiLoader 是否在虚拟化环境中运行,并在发现与虚拟机软件相关的进程时自行终止。
虽然从网络钓鱼转变为 SEO 中毒作为传播机制的原因尚不清楚,但 Unit 42 推测,该活动可能是另一个 IAB 的作品,或者提供恶意软件的现有组织是为了响应公开披露而这样做的。
研究人员说:“WikiLoader 活动利用的欺骗、受损和合法基础设施相结合,加强了恶意软件作者对构建具有多种 [命令和控制] 配置的操作安全且强大的加载程序的关注。
该披露是在 Trend Micro 发现一项新活动几天后披露的,该活动还利用虚假的 GlobalProtect VPN 软件用后门恶意软件感染中东用户。