一个新的恶意软件活动正在欺骗 Palo Alto Networks 的 GlobalProtect VPN 软件,通过搜索引擎优化 (SEO) 活动提供 WikiLoader(又名 WailingCrab)加载程序的变体。Unit 42 研究人员 Mark Lim 和 Tom Marsden 表示,2024 年 6 月观察到的恶意广告活动与以前观察到的策略不同,在这种策略中,恶意软件是通过传统的网络钓鱼电子邮件传播的。WikiLoader 于 2023 年 8 月由 Proofpoint 首次记录,被归因于一个名为 TA544 的威胁行为者,电子邮件攻击利用该恶意软件部署 Danabot 和 Ursnif。然后在今年 4 月早些时候,韩国网络安全公司 AhnLab 详细介绍了一个攻击活动,该活动利用 Notepad++ 插件的木马版本作为分发媒介。也就是说,每个 Unit 42 怀疑至少有两个初始访问代理 (IAB) 使用出租的加载程序,并表示攻击链的特点是允许其逃避安全工具的检测。“攻击者通常使用 SEO 中毒作为初始访问媒介,诱骗人们访问欺骗合法搜索因此,最终搜索 GlobalProtect 软件的用户会看到 Google 广告,点击后,这些广告会将用户重定向到虚假的 GlobalProtect 下载页面,从而有效地触发感染序列。MSI 安装程序包括一个可执行文件(“GlobalProtect64.exe”),实际上,它是 TD Ameritrade(现在是 Charles Schwab 的一部分)的合法股票交易应用程序的重命名版本,用于旁加载名为“i4jinst.dll”的恶意 DLL。这为执行 shellcode 铺平了道路,shellcode 会经过一系列步骤,最终从远程服务器下载和启动 WikiLoader 后门。为了进一步提高安装程序的合法性并欺骗受害者,在整个过程结束时会显示一条虚假错误消息,指出他们的 Windows 计算机中缺少某些库。除了使用合法软件的重命名版本来旁加载恶意软件外,威胁行为者还加入了反分析检查,以确定 WikiLoader 是否在虚拟化环境中运行,并在发现与虚拟机软件相关的进程时自行终止。虽然从网络钓鱼转变为 SEO 中毒作为传播机制的原因尚不清楚,但 Unit 42 推测,该活动可能是另一个 IAB 的作品,或者提供恶意软件的现有组织是为了响应公开披露而这样做的。研究人员说:“WikiLoader 活动利用的欺骗、受损和合法基础设施相结合,加强了恶意软件作者对构建具有多种 [命令和控制] 配置的操作安全且强大的加载程序的关注。该披露是在 Trend Micro 发现一项新活动几天后披露的,该活动还利用虚假的 GlobalProtect VPN 软件用后门恶意软件感染中东用户。
