Новая кампания по распространению вредоносного ПО использует подделку программного обеспечения GlobalProtect VPN от Palo Alto Networks для доставки модифицированного загрузчика WikiLoader (также известного как WailingCrab) с помощью методов поисковой оптимизации (SEO).
Исследователи из Unit 42 Марк Лим и Том Марсден отметили, что вредоносная активность, наблюдаемая в июне 2024 года, отличается от ранее выявленных тактик, когда вредоносное ПО распространялось через традиционные фишинговые письма.
Что такое WikiLoader?
WikiLoader, впервые задокументированный Proofpoint в августе 2023 года, связывается с группировкой TA544, использующей его для внедрения вредоносных программ Danabot и Ursnif.
В апреле этого года южнокорейская компания AhnLab описала кампанию, которая распространяла вредоносное ПО через троянскую версию плагина для Notepad++.
По данным Unit 42, этот загрузчик может использоваться по меньшей мере двумя брокерами начального доступа (IAB), а цепочки атак характеризуются тактиками, которые позволяют избегать обнаружения средствами безопасности.
«Злоумышленники часто используют отравление SEO как начальный вектор доступа, обманывая пользователей, заставляя их переходить на страницу, которая имитирует легитимный результат поиска, чтобы доставить вредоносное ПО вместо искомого продукта»
Марк Лим и Том Марсден
Инфраструктура распространения этой кампании использует клоны сайтов, замаскированные под GlobalProtect, а также облачные репозитории Git.
Пользователи, ищущие программное обеспечение GlobalProtect, видят рекламные объявления в Google, которые при нажатии перенаправляют их на поддельную страницу загрузки GlobalProtect, тем самым инициируя процесс заражения.
MSI-инсталлятор включает исполняемый файл («GlobalProtect64.exe»), который фактически является переименованным приложением для торговли акциями от TD Ameritrade (ныне часть Charles Schwab) и используется для загрузки вредоносной DLL-библиотеки «i4jinst.dll».
Это приводит к выполнению шеллкода, который в итоге загружает и запускает бэкдор WikiLoader с удаленного сервера.
Для повышения легитимности установщика злоумышленники показывают фальшивое сообщение об ошибке, утверждая, что на компьютере отсутствуют определенные библиотеки Windows.
Кроме использования переименованных легитимных программ для загрузки вредоносного ПО, хакеры внедрили проверки на анализ, которые определяют, выполняется ли WikiLoader в виртуализированной среде, и завершают его работу, если обнаруживаются процессы, связанные с виртуальными машинами.
Хотя причина перехода от фишинга к SEO-поизонинг для распространения неясна, в Unit 42 предположили, что это может быть работа другого брокера начального доступа или реакция существующих групп на публичное раскрытие их деятельности.
«Комбинация поддельной, скомпрометированной и легитимной инфраструктуры, используемой в кампаниях WikiLoader, подчеркивает внимание авторов вредоносного ПО к обеспечению надежной операционной безопасности загрузчика с множественными конфигурациями командно-контрольных серверов», — заявили исследователи.
Это раскрытие последовало за отчетом Trend Micro, в котором описана кампания, также использующая поддельное программное обеспечение GlobalProtect VPN для заражения пользователей на Ближнем Востоке бэкдором, подчёркивает vpnРоссия.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.