یک کمپین بدافزار جدید جعل هویت GlobalProtect VPN شبکه Palo Alto را ارائه میکند تا گونهای از WikiLoader (معروف به WailingCrab) را از طریق یک کمپین بهینهسازی موتور جستجو (SEO) ارائه دهد.
مارک لیم و تام مارسدن، محققین واحد 42 گفتند که فعالیت تبلیغاتی مخرب که در ژوئن 2024 مشاهده شد، نشان دهنده انحراف از تاکتیکهای مشاهده شده قبلی است که بدافزار از طریق ایمیلهای فیشینگ سنتی پخش میشود.
WikiLoader برای اولین بار توسط Proofpoint در آگوست 2023 ثبت شد و به یک عامل تهدید معروف به TA544 نسبت داده شد، با حملات ایمیلی که از بدافزار برای گسترش Danabot و Ursnif سوء استفاده می کرد.
سپس در اوایل ماه آوریل، شرکت امنیت سایبری کره جنوبی AhnLab یک کمپین حمله را شرح داد که از نسخه آلوده به تروجان پلاگین Notepad ++ به عنوان یک بردار توزیع سوء استفاده می کرد.
با این حال، واحد 42 گفت، ابزار بارگذاری برای اجاره حداقل دو کارگزار دسترسی اولیه (IAB) استفاده میکنند و اشاره کرد که زنجیرههای حمله دارای تاکتیکهایی هستند که به آنها امکان میدهد از شناسایی توسط ابزارهای امنیتی فرار کنند.
محققان میگویند: مهاجمان معمولاً از مسمومیت موتورهای جستجو به عنوان یک بردار دسترسی اولیه استفاده میکنند تا افراد را فریب دهند تا از صفحهای بازدید کنند که یک نتیجه جستجوی قانونی را جعل میکند تا به جای جستجوی محصول، بدافزار را ارائه دهند.
زیرساخت تحویل این کمپین از وبسایتهای شبیهسازیشده با نام تجاری GlobalProtect و همچنین مخازن Git مبتنی بر ابر بهره میبرد.
بنابراین، به کاربرانی که در نهایت به جستجوی GlobalProtect میپردازند، تبلیغات Google نشان داده میشود، که وقتی روی آن کلیک میشود، کاربران را به صفحه دانلود جعلی GlobalProtect هدایت میکند و عملاً زنجیره عفونت را تحریک میکند.
نصب کننده MSI شامل یک فایل اجرایی (“GlobalProtect64.exe”) است که در واقع یک نسخه تغییر نام تجاری از یک برنامه تجاری قانونی سهام از TD Ameritrade (در حال حاضر بخشی از Charles Schwab) است که برای بارگیری یک DLL مخرب به نام “i4jinst.dll” استفاده می شود. .
این مرحله را برای اجرای shellcode تنظیم میکند که یک سری مراحل را طی میکند تا اینکه درب پشتی WikiLoader در نهایت از یک سرور راه دور دانلود و اجرا شود.
برای بهبود مشروعیت درک شده از نصب کننده و قربانیان ترفند، یک پیام خطای جعلی در پایان کل فرآیند نمایش داده می شود که بیان می کند برخی از کتابخانه ها در رایانه های ویندوزی خود وجود ندارند.
علاوه بر استفاده از نسخههای تغییر نام تجاری نرمافزار قانونی برای بارگذاری بدافزار، مرتکبین بررسیهای ضدتحلیلی را نیز گنجاندهاند که مشخص میکند آیا WikiLoader در یک محیط مجازی در حال اجرا است یا خیر و زمانی که فرآیندهای مرتبط با نرمافزار ماشین مجازی پیدا میشوند، خود خاتمه مییابند.
در حالی که دلیل تغییر از فیشینگ به مسمومیت با موتورهای جستجو به عنوان مکانیزم انتشار نامشخص است، واحد 42 این نظریه را مطرح کرد که ممکن است این کمپین کار یک IAB دیگر باشد یا اینکه گروههای موجود که بدافزار را ارائه میدهند این کار را در پاسخ به افشای عمومی انجام دادهاند.
محققان گفتند: «ترکیبی از زیرساختهای جعلی، آسیبدیده و قانونی که توسط کمپینهای WikiLoader مورد بهرهبرداری قرار میگیرد، علاقه نویسندگان بدافزار را برای ایجاد یک بارگیری امن و از نظر عملیاتی قوی، با پیکربندیهای فرماندهی و کنترل متعدد، تقویت میکند.
این افشاگری چند روز پس از آن صورت می گیرد که Trend Micro کمپین جدیدی را فاش کرد که از VPN جعلی GlobalProtect نیز برای آلوده کردن کاربران خاورمیانه به بدافزارهای پشتی استفاده می کرد.
منبع: https://thehackernews.com/2024/09/hackers-use-fake-globalprotect-vpn.html