Hackers gebruiken nep GlobalProtect VPN-software in nieuwe WikiLoader-malwareaanval

Een nieuwe malwarecampagne vervalst de GlobalProtect VPN-software van Palo Alto Networks om een ​​variant van de WikiLoader (ook bekend als WailingCrab)-loader te leveren via een zoekmachineoptimalisatiecampagne (SEO).

Volgens Mark Lim en Tom Marsden, onderzoekers van Unit 42, wijkt de malvertisingactiviteit, die in juni 2024 werd waargenomen, af van de eerder waargenomen tactieken waarbij de malware werd verspreid via traditionele phishing-e-mails.

WikiLoader, voor het eerst gedocumenteerd door Proofpoint in augustus 2023, wordt toegeschreven aan een bedreigingsactor die bekend staat als TA544. De e-mailaanvallen maken gebruik van de malware om Danabot en Ursnif te implementeren.

Eerder deze april beschreef het Zuid-Koreaanse cybersecuritybedrijf AhnLab een aanvalscampagne waarbij gebruik werd gemaakt van een trojanversie van een Notepad++-plug-in als distributiemethode.

Dat gezegd hebbende, wordt vermoed dat de te huren loader door ten minste twee Initial Access Broker (IAB’s) per Unit 42 wordt gebruikt. Volgens hen worden de aanvalsketens gekenmerkt door tactieken waarmee detectie door beveiligingstools kan worden omzeild.

“Aanvallers gebruiken SEO-vergiftiging vaak als eerste toegangsweg om mensen te misleiden en hen naar een pagina te lokken die het legitieme zoekresultaat nabootst. Zo leveren ze malware af in plaats van het gezochte product”, aldus de onderzoekers.

“De leveringsinfrastructuur van deze campagne maakte gebruik van gekloonde websites die de naam GlobalProtect kregen, in combinatie met cloudgebaseerde Git-repositories.”

Gebruikers die uiteindelijk naar de GlobalProtect-software zoeken, krijgen Google-advertenties te zien. Wanneer gebruikers hierop klikken, worden ze doorgestuurd naar een valse GlobalProtect-downloadpagina, waardoor de infectie daadwerkelijk wordt geactiveerd.

Het MSI-installatieprogramma bevat een uitvoerbaar bestand (“GlobalProtect64.exe”) dat in werkelijkheid een hernoemde versie is van een legitieme aandelenhandelsapplicatie van TD Ameritrade (nu onderdeel van Charles Schwab) die wordt gebruikt om een ​​schadelijke DLL met de naam “i4jinst.dll” te sideloaden.

Dit maakt de weg vrij voor de uitvoering van shellcode die een reeks stappen doorloopt om uiteindelijk de WikiLoader-backdoor te downloaden en te starten vanaf een externe server.

Om de geloofwaardigheid van het installatieprogramma verder te vergroten en slachtoffers te misleiden, wordt aan het einde van het hele proces een nepfoutmelding weergegeven, waarin staat dat bepaalde bibliotheken op hun Windows-computers ontbreken.

Naast het gebruik van hernoemde versies van legitieme software voor het sideloaden van malware, hebben de kwaadwillenden ook anti-analysecontroles ingebouwd die bepalen of WikiLoader in een gevirtualiseerde omgeving draait. Bovendien wordt WikiLoader uitgeschakeld wanneer er processen worden gevonden die gerelateerd zijn aan de software van virtuele machines.

Hoewel de reden voor de verschuiving van phishing naar SEO-vergiftiging als verspreidingsmechanisme onduidelijk is, vermoedt Unit 42 dat de campagne mogelijk het werk is van een andere IAB of dat bestaande groepen die de malware verspreiden dit hebben gedaan als reactie op openbare bekendmaking.

“De combinatie van vervalste, gecompromitteerde en legitieme infrastructuur die door WikiLoader-campagnes wordt benut, benadrukt de aandacht van de malware-auteurs voor het bouwen van een operationeel veilige en robuuste loader, met meerdere (command-and-control) configuraties”, aldus de onderzoekers.

De onthulling komt enkele dagen nadat Trend Micro een nieuwe campagne ontdekte die ook gebruikmaakt van nep-GlobalProtect VPN-software om gebruikers in het Midden-Oosten te infecteren met backdoor-malware.

Thijs Van der Does