概述
最近,一项新的恶意软件活动通过搜索引擎优化(SEO)活动伪装为Palo Alto Networks的GlobalProtect VPN软件,传播WikiLoader(又称WailingCrab)加载程序的变种。这项恶意活动于2024年6月被观察到,与之前通过传统网络钓鱼邮件传播恶意软件的策略有所不同。
恶意软件的背景
WikiLoader首次被Proofpoint在2023年8月记录,其归因于一个被称为TA544的威胁行为者。该邮件攻击利用该恶意软件部署Danabot和Ursnif。此外,在今年4月,韩国网络安全公司AhnLab详细介绍了一项利用伪装的Notepad++插件作为传播载体的攻击活动。
攻击链和传播机制
初步访问代理(IAB)
根据Unit 42的说法,该加载程序被至少两个初步访问代理(IAB)使用,攻击链的特点是采取了可以规避安全工具检测的策略。研究人员指出:“攻击者通常使用SEO污染作为初步访问向量,诱使人们访问伪装成合法搜索结果的页面,从而传播恶意软件,而非所搜索的产品。”
伪装网站与恶意广告
这项活动的交付基础设施利用了被克隆的网站,这些网站被重新标记为GlobalProtect,并与基于云的Git代码库结合使用。因此,最终搜索GlobalProtect软件的用户会看到Google广告,点击后会重定向到一个虚假的GlobalProtect下载页面,从而触发感染序列。
恶意安装程序的细节
该MSI安装程序包含一个名为“GlobalProtect64.exe”的可执行文件,实际上是TD Ameritrade(现为Charles Schwab的一部分)的一款合法股票交易应用的重命名版本,用于旁加载一个名为“i4jinst.dll”的恶意DLL。这为执行Shellcode铺平了道路,Shellcode经过一系列步骤,最终从远程服务器下载并启动WikiLoader后门。
伪装与欺骗
为了进一步提高安装程序的合法性并欺骗受害者,整个过程结束时会显示一个假错误消息,声明其Windows计算机缺少某些库文件。除了使用合法软件的重命名版本旁加载恶意软件外,威胁行为者还加入了反分析检查,以确定WikiLoader是否在虚拟化环境中运行,并在发现与虚拟机软件相关的进程时终止自身。
结论
尽管从网络钓鱼转向SEO污染作为传播机制的原因尚不清楚,Unit 42推测这可能是另一名初步访问代理的工作,或者现有的恶意软件传播团体是因公众披露而做出的反应。研究人员表示:“WikiLoader活动所利用的伪装、被攻陷和合法基础设施的组合,加强了恶意软件作者在构建一个操作安全且强大的加载程序方面的关注,具有多种指挥与控制配置。”
相关动态
这一披露发生在趋势科技(Trend Micro)发现另一项利用伪装的GlobalProtect VPN软件感染中东用户后门恶意软件的活动几天后。
如果您发现这篇文章有趣,请关注我们的Twitter和LinkedIn,以阅读更多我们发布的独家内容。
