VietNetwork.Vn

Một chiến dịch phần mềm độc hại mới đang giả mạo phần mềm VPN GlobalProtect của Palo Alto Networks để cung cấp một biến thể của trình tải WikiLoader (hay còn gọi là WailingCrab) thông qua chiến dịch tối ưu hóa công cụ tìm kiếm (SEO).

Các nhà nghiên cứu Mark Lim và Tom Marsden của Unit 42 cho biết hoạt động quảng cáo độc hại được phát hiện vào tháng 6 năm 2024 này khác hẳn với các chiến thuật đã từng được quan sát trước đây, trong đó phần mềm độc hại được phát tán qua email lừa đảo truyền thống.


WikiLoader, lần đầu tiên được Proofpoint ghi nhận vào tháng 8 năm 2023, được cho là do một tác nhân đe dọa có tên là TA544 thực hiện, với các cuộc tấn công qua email sử dụng phần mềm độc hại để triển khai Danabot và Ursnif.

Sau đó vào đầu tháng 4, công ty an ninh mạng AhnLab của Hàn Quốc đã nêu chi tiết về một chiến dịch tấn công sử dụng phiên bản trojan của plugin Notepad++ làm phương tiện phát tán.

Theo Đơn vị 42, trình tải cho thuê bị nghi ngờ được sử dụng bởi ít nhất hai nhà môi giới truy cập ban đầu (IAB), nêu rằng chuỗi tấn công được đặc trưng bởi các chiến thuật cho phép nó trốn tránh sự phát hiện của các công cụ bảo mật.

Các nhà nghiên cứu cho biết: "Những kẻ tấn công thường sử dụng thủ thuật đầu độc SEO làm phương thức truy cập ban đầu để lừa mọi người truy cập vào một trang giả mạo kết quả tìm kiếm hợp lệ nhằm phân phối phần mềm độc hại thay vì sản phẩm được tìm kiếm".

"Cơ sở hạ tầng phân phối của chiến dịch này tận dụng các trang web sao chép được đổi tên thành GlobalProtect cùng với kho lưu trữ Git trên nền tảng đám mây."


Do đó, người dùng tìm kiếm phần mềm GlobalProtect sẽ thấy quảng cáo của Google, khi nhấp vào sẽ chuyển hướng người dùng đến trang tải xuống GlobalProtect giả mạo, từ đó kích hoạt chuỗi lây nhiễm.

Trình cài đặt MSI bao gồm một tệp thực thi ("GlobalProtect64.exe"), trên thực tế là phiên bản đổi tên của một ứng dụng giao dịch cổ phiếu hợp pháp từ TD Ameritrade (hiện là một phần của Charles Schwab) được sử dụng để tải một DLL độc hại có tên "i4jinst.dll."

Điều này mở đường cho việc thực thi shellcode trải qua một chuỗi các bước để cuối cùng tải xuống và khởi chạy cửa hậu WikiLoader từ một máy chủ từ xa.

Để nâng cao hơn nữa tính hợp pháp của trình cài đặt và đánh lừa nạn nhân, một thông báo lỗi giả sẽ được hiển thị ở cuối toàn bộ quá trình, nêu rõ rằng một số thư viện nhất định bị thiếu trên máy tính Windows của họ.

Bên cạnh việc sử dụng các phiên bản đổi tên của phần mềm hợp pháp để tải phần mềm độc hại, kẻ tấn công đã kết hợp các kiểm tra chống phân tích để xác định xem WikiLoader có đang chạy trong môi trường ảo hóa hay không và tự chấm dứt khi tìm thấy các tiến trình liên quan đến phần mềm máy ảo.

Trong khi lý do chuyển từ lừa đảo sang đầu độc SEO như một cơ chế lây lan vẫn chưa rõ ràng, Đơn vị 42 đưa ra giả thuyết rằng có khả năng chiến dịch này là tác phẩm của một IAB khác hoặc các nhóm hiện có đang phát tán phần mềm độc hại đã làm như vậy để đáp trả việc tiết lộ thông tin cho công chúng.

Các nhà nghiên cứu cho biết: "Sự kết hợp giữa cơ sở hạ tầng giả mạo, bị xâm phạm và hợp pháp được các chiến dịch WikiLoader tận dụng đã củng cố sự chú ý của tác giả phần mềm độc hại trong việc xây dựng một trình tải mạnh mẽ và an toàn về mặt hoạt động, với nhiều cấu hình [lệnh và điều khiển]".

Việc tiết lộ này được đưa ra vài ngày sau khi Trend Micro phát hiện ra một chiến dịch mới cũng sử dụng phần mềm VPN GlobalProtect giả để lây nhiễm phần mềm độc hại vào người dùng ở Trung Đông.