هکرها از VPN جعلی از GlobalProtect در حمله بدافزار جدید WikiLoader استفاده می کنند

هکرها از VPN جعلی از GlobalProtect در حمله بدافزار جدید WikiLoader استفاده می کنند

04 سپتامبر 2024راوی لاکشمانانبدافزار / امنیت شبکه

یک کمپین بدافزار جدید جعل هویت GlobalProtect VPN شبکه Palo Alto را ارائه می‌کند تا گونه‌ای از WikiLoader (معروف به WailingCrab) را از طریق یک کمپین بهینه‌سازی موتور جستجو (SEO) ارائه دهد.

مارک لیم و تام مارسدن، محققین واحد 42 گفتند که فعالیت تبلیغاتی مخرب که در ژوئن 2024 مشاهده شد، نشان دهنده انحراف از تاکتیک‌های مشاهده شده قبلی است که بدافزار از طریق ایمیل‌های فیشینگ سنتی پخش می‌شود.

WikiLoader برای اولین بار توسط Proofpoint در آگوست 2023 ثبت شد و به یک عامل تهدید معروف به TA544 نسبت داده شد، با حملات ایمیلی که از بدافزار برای گسترش Danabot و Ursnif سوء استفاده می کرد.

امنیت سایبری

سپس در اوایل ماه آوریل، شرکت امنیت سایبری کره جنوبی AhnLab یک کمپین حمله را شرح داد که از نسخه آلوده به تروجان پلاگین Notepad ++ به عنوان یک بردار توزیع سوء استفاده می کرد.

با این حال، واحد 42 گفت، ابزار بارگذاری برای اجاره حداقل دو کارگزار دسترسی اولیه (IAB) استفاده می‌کنند و اشاره کرد که زنجیره‌های حمله دارای تاکتیک‌هایی هستند که به آنها امکان می‌دهد از شناسایی توسط ابزارهای امنیتی فرار کنند.

محققان می‌گویند: مهاجمان معمولاً از مسمومیت موتورهای جستجو به عنوان یک بردار دسترسی اولیه استفاده می‌کنند تا افراد را فریب دهند تا از صفحه‌ای بازدید کنند که یک نتیجه جستجوی قانونی را جعل می‌کند تا به جای جستجوی محصول، بدافزار را ارائه دهند.

زیرساخت تحویل این کمپین از وب‌سایت‌های شبیه‌سازی‌شده با نام تجاری GlobalProtect و همچنین مخازن Git مبتنی بر ابر بهره می‌برد.

بنابراین، به کاربرانی که در نهایت به جستجوی GlobalProtect می‌پردازند، تبلیغات Google نشان داده می‌شود، که وقتی روی آن کلیک می‌شود، کاربران را به صفحه دانلود جعلی GlobalProtect هدایت می‌کند و عملاً زنجیره عفونت را تحریک می‌کند.

نصب کننده MSI شامل یک فایل اجرایی (“GlobalProtect64.exe”) است که در واقع یک نسخه تغییر نام تجاری از یک برنامه تجاری قانونی سهام از TD Ameritrade (در حال حاضر بخشی از Charles Schwab) است که برای بارگیری یک DLL مخرب به نام “i4jinst.dll” استفاده می شود. .

این مرحله را برای اجرای shellcode تنظیم می‌کند که یک سری مراحل را طی می‌کند تا اینکه درب پشتی WikiLoader در نهایت از یک سرور راه دور دانلود و اجرا شود.

برای بهبود مشروعیت درک شده از نصب کننده و قربانیان ترفند، یک پیام خطای جعلی در پایان کل فرآیند نمایش داده می شود که بیان می کند برخی از کتابخانه ها در رایانه های ویندوزی خود وجود ندارند.

علاوه بر استفاده از نسخه‌های تغییر نام تجاری نرم‌افزار قانونی برای بارگذاری بدافزار، مرتکبین بررسی‌های ضدتحلیلی را نیز گنجانده‌اند که مشخص می‌کند آیا WikiLoader در یک محیط مجازی در حال اجرا است یا خیر و زمانی که فرآیندهای مرتبط با نرم‌افزار ماشین مجازی پیدا می‌شوند، خود خاتمه می‌یابند.

امنیت سایبری

در حالی که دلیل تغییر از فیشینگ به مسمومیت با موتورهای جستجو به عنوان مکانیزم انتشار نامشخص است، واحد 42 این نظریه را مطرح کرد که ممکن است این کمپین کار یک IAB دیگر باشد یا اینکه گروه‌های موجود که بدافزار را ارائه می‌دهند این کار را در پاسخ به افشای عمومی انجام داده‌اند.

محققان گفتند: «ترکیبی از زیرساخت‌های جعلی، آسیب‌دیده و قانونی که توسط کمپین‌های WikiLoader مورد بهره‌برداری قرار می‌گیرد، علاقه نویسندگان بدافزار را برای ایجاد یک بارگیری امن و از نظر عملیاتی قوی، با پیکربندی‌های فرماندهی و کنترل متعدد، تقویت می‌کند.

این افشاگری چند روز پس از آن صورت می گیرد که Trend Micro کمپین جدیدی را فاش کرد که از VPN جعلی GlobalProtect نیز برای آلوده کردن کاربران خاورمیانه به بدافزارهای پشتی استفاده می کرد.

آیا این مقاله برای شما جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/09/hackers-use-fake-globalprotect-vpn.html