Uma nova campanha de malware está falsificando o software GlobalProtect VPN da Palo Alto Networks para entregar uma variante do carregador WikiLoader (também conhecido como WailingCrab) por meio de uma campanha de otimização de mecanismo de busca (SEO).
A atividade de malvertising, observada em junho de 2024, difere das táticas anteriormente observadas, nas quais o malware era propagado via emails tradicionais de phishing, disseram os pesquisadores da Unit 42, Mark Lim e Tom Marsden.
O WikiLoader, documentado pela primeira vez pela Proofpoint em agosto de 2023, foi atribuído a um ator de ameaça conhecido como TA544, com os ataques de e-mail usando o malware para implantar Danabot e Ursnif.
Então, em abril deste ano, a empresa sul-coreana de cibersegurança AhnLab detalhou uma campanha de ataque que se aproveitava de uma versão trojanizada de um plugin do Notepad++ como vetor de distribuição.
Dito isso, suspeita-se que o carregador para aluguel seja usado por pelo menos dois corretores de acesso inicial (IABs), segundo a Unit 42, afirmando que as cadeias de ataque são caracterizadas por táticas que permitem evadir a detecção por ferramentas de segurança.
"Os invasores comumente usam envenenamento de SEO como um vetor de acesso inicial para enganar as pessoas a visitarem uma página que imita o resultado de pesquisa legítimo para entregar malware em vez do produto procurado", disseram os pesquisadores.
A infraestrutura de entrega desta campanha aproveitou sites clonados rotulados como GlobalProtect, juntamente com repositórios Git baseados na nuvem.
Assim, usuários que acabam procurando pelo software GlobalProtect veem anúncios no Google que, ao clicar, redirecionam os usuários para uma página de download fake do GlobalProtect, desencadeando efetivamente a sequência de infecção.
O instalador MSI inclui um executável ("GlobalProtect64.exe") que, na realidade, é uma versão renomeada de um legítimo aplicativo de negociação de ações da TD Ameritrade (agora parte da Charles Schwab) usado para carregar lateralmente uma DLL maliciosa chamada "i4jinst.dll." Isso abre caminho para a execução de um shellcode que passa por uma sequência de etapas para, finalmente, baixar e lançar o backdoor WikiLoader de um servidor remoto.
Para melhorar ainda mais a legitimidade percebida do instalador e enganar as vítimas, uma mensagem de erro falsa é exibida no final de todo o processo, informando que certas bibliotecas estão faltando em seus computadores Windows.
Além de usar versões renomeadas de software legítimo para o carregamento lateral do malware, os atores de ameaças incorporaram verificações anti-análise que determinam se o WikiLoader está executando em um ambiente virtualizado e se termina quando processos relacionados ao software de máquina virtual são encontrados.
Embora a razão para a mudança de phishing para envenenamento de SEO como mecanismo de propagação não seja clara, a Unit 42 teorizou que é possível que a campanha seja obra de outro IAB ou que os grupos existentes que entregam o malware tenham feito isso em resposta à divulgação pública.
"A combinação de infraestrutura falsificada, comprometida e legítima aproveitada pelas campanhas do WikiLoader reforça a atenção dos autores do malware na construção de um carregador operacionalmente seguro e robusto, com múltiplas configurações de [command-and-control]", disseram os pesquisadores.
A divulgação vem dias depois de a Trend Micro descobrir uma nova campanha que também se aproveita do software VPN GlobalProtect falso para infectar usuários no Oriente Médio com malware backdoor.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...