Kampanye malware baru memalsukan perangkat lunak VPN GlobalProtect milik Palo Alto Networks untuk mengirimkan varian pemuat WikiLoader (alias WailingCrab) melalui kampanye optimasi mesin pencari (SEO).
Aktivitas malvertising yang diamati pada bulan Juni 2024 merupakan penyimpangan dari taktik yang diamati sebelumnya di mana malware telah disebarkan melalui email phishing tradisional, kata peneliti Unit 42 Mark Lim dan Tom Marsden.
WikiLoader, pertama kali didokumentasikan oleh Proofpoint pada bulan Agustus 2023, telah dikaitkan dengan aktor ancaman yang dikenal sebagai TA544, dengan serangan email yang memanfaatkan malware untuk menyebarkan Danabot dan Ursnif.
Kemudian pada awal April ini, perusahaan keamanan siber Korea Selatan AhnLab merinci kampanye serangan yang memanfaatkan versi Trojan dari plugin Notepad++ sebagai vektor distribusi.
Kendati demikian, loader yang disewakan itu diduga digunakan oleh setidaknya dua broker akses awal (IAB), menurut Unit 42, yang menyatakan rantai serangan tersebut dicirikan oleh taktik yang memungkinkannya menghindari deteksi oleh alat keamanan.
“Penyerang umumnya menggunakan SEO poisoning sebagai vektor akses awal untuk mengelabui orang agar mengunjungi laman yang memalsukan hasil penelusuran sah untuk mengirimkan malware, bukan produk yang dicari,” kata para peneliti.
“Infrastruktur pengiriman kampanye ini memanfaatkan situs web kloning yang diberi label ulang sebagai GlobalProtect beserta repositori Git berbasis cloud.”
Dengan demikian, pengguna yang akhirnya mencari perangkat lunak GlobalProtect diperlihatkan iklan Google yang, setelah diklik, mengarahkan pengguna ke halaman unduhan GlobalProtect palsu, yang secara efektif memicu rangkaian infeksi.
Penginstal MSI menyertakan file yang dapat dieksekusi (“GlobalProtect64.exe”) yang, pada kenyataannya, adalah versi yang diubah namanya dari aplikasi perdagangan saham sah dari TD Ameritrade (sekarang bagian dari Charles Schwab) yang digunakan untuk melakukan sideload DLL berbahaya yang bernama “i4jinst.dll.”
Hal ini membuka jalan bagi eksekusi shellcode yang melalui serangkaian langkah untuk akhirnya mengunduh dan meluncurkan pintu belakang WikiLoader dari server jarak jauh.
Untuk lebih meningkatkan legitimasi penginstal dan menipu korban, pesan kesalahan palsu ditampilkan di akhir seluruh proses, yang menyatakan pustaka tertentu hilang dari komputer Windows mereka.
Selain menggunakan versi perangkat lunak sah yang sudah diubah namanya untuk melakukan sideloading malware, pelaku ancaman telah memasukkan pemeriksaan anti-analisis yang menentukan apakah WikiLoader berjalan dalam lingkungan virtual dan menghentikan dirinya sendiri saat proses yang terkait dengan perangkat lunak mesin virtual ditemukan.
Meskipun alasan peralihan dari phishing ke SEO poisoning sebagai mekanisme penyebaran masih belum jelas, Unit 42 berteori bahwa ada kemungkinan kampanye tersebut merupakan hasil kerja IAB lain atau kelompok yang sudah ada yang menyebarkan malware tersebut telah melakukannya sebagai respons terhadap pengungkapan kepada publik.
“Kombinasi infrastruktur palsu, yang dikompromikan, dan yang sah yang dimanfaatkan oleh kampanye WikiLoader memperkuat perhatian pembuat malware untuk membangun loader yang aman dan kuat secara operasional, dengan berbagai [command-and-control] konfigurasi,” kata para peneliti.
Pengungkapan ini terjadi beberapa hari setelah Trend Micro mengungkap kampanye baru yang juga memanfaatkan perangkat lunak VPN GlobalProtect palsu untuk menginfeksi pengguna di Timur Tengah dengan malware pintu belakang.