Eine neue Malware-Kampagne spooft die GlobalProtect VPN-Software von Palo Alto Networks, um eine Variante des WikiLoader (auch bekannt als WailingCrab) Loaders über eine Suchmaschinenoptimierungs-(SEO)-Kampagne zu verbreiten. Die Malvertising-Aktivität, die im Juni 2024 beobachtet wurde, ist ein Abweichen von zuvor beobachteten Taktiken, bei denen die Malware über traditionelle Phishing-E-Mails verbreitet wurde, sagten Mark Lim und Tom Marsden, Forscher von Unit 42. WikiLoader, der erstmals im August 2023 von Proofpoint dokumentiert wurde, wurde einem Bedrohungsakteur namens TA544 zugeschrieben, wobei die E-Mail-Angriffe die Malware zur Bereitstellung von Danabot und Ursnif nutzten.
Dann, Anfang April dieses Jahres, beschrieb das südkoreanische Cybersicherheitsunternehmen AhnLab eine Angriffskampagne, die eine trojanisierte Version eines Notepad++-Plugins als Verbreitungsvektor nutzte. Der Loader for Rent wird jedoch verdächtigt, von mindestens zwei Initial Access Brokern (IABs) verwendet zu werden, so Unit 42, die angeben, dass die Angriffsketten durch Taktiken gekennzeichnet sind, die es ermöglichen, der Erkennung durch Sicherheitstools zu entgehen. „Angreifer verwenden häufig SEO-Vergiftung als ersten Zugriffspunkt, um Benutzer dazu zu verleiten, eine Seite zu besuchen, die das legitime Suchergebnis fälscht, um Malware anstelle des gesuchten Produkts zu liefern“, sagten die Forscher. „Die Delivery-Infrastruktur dieser Kampagne nutzte geklonte Websites, die als GlobalProtect neu gekennzeichnet wurden, zusammen mit Cloud-basierten Git-Repositories.“
So werden Benutzern, die nach der GlobalProtect-Software suchen, Google-Anzeigen angezeigt, die nach dem Anklicken Benutzer auf eine gefälschte GlobalProtect-Downloadseite weiterleiten und so die Infektionssequenz auslösen. Das MSI-Installationsprogramm enthält eine ausführbare Datei („GlobalProtect64.exe“), die in Wirklichkeit eine umbenannte Version einer legitimen Share-Trading-Anwendung von TD Ameritrade (jetzt Teil von Charles Schwab) ist, die verwendet wird, um eine bösartige DLL namens „i4jinst.dll“ zu laden. Dies ebnet den Weg für die Ausführung von Shellcode, der eine Reihe von Schritten durchläuft, um letztendlich den WikiLoader-Backdoor von einem Remote-Server herunterzuladen und zu starten. Um die wahrgenommene Legitimität des Installationsprogramms weiter zu verbessern und Opfer zu täuschen, wird am Ende des gesamten Prozesses eine gefälschte Fehlermeldung angezeigt, in der angegeben wird, dass bestimmte Bibliotheken auf ihren Windows-Computern fehlen. Neben der Verwendung von umbenannten Versionen legitimer Software zum Sideloading der Malware haben die Bedrohungsakteure Anti-Analyse-Prüfungen integriert, die feststellen, ob WikiLoader in einer virtualisierten Umgebung ausgeführt wird, und sich selbst beenden, wenn Prozesse gefunden werden, die mit der Virtual-Machine-Software zusammenhängen.
Während der Grund für die Verlagerung von Phishing zu SEO-Vergiftung als Verbreitungsmechanismus unklar ist, vermutete Unit 42, dass die Kampagne möglicherweise das Werk eines anderen IAB ist oder dass bestehende Gruppen, die die Malware verbreiten, dies als Reaktion auf die öffentliche Bekanntmachung getan haben. „Die Kombination aus gefälschter, kompromittierter und legitimer Infrastruktur, die von WikiLoader-Kampagnen genutzt wird, unterstreicht die Aufmerksamkeit der Malware-Autoren auf den Aufbau eines betrieblich sicheren und robusten Loaders mit mehreren [Command-and-Control]-Konfigurationen“, sagten die Forscher. Die Offenlegung erfolgt nur wenige Tage nachdem Trend Micro eine neue Kampagne entdeckt hat, die ebenfalls eine gefälschte GlobalProtect VPN-Software nutzt, um Benutzer im Nahen Osten mit Backdoor-Malware zu infizieren.