Detectar ataques WikiLoader: Los adversarios utilizan software falso de GlobalProtect VPN para distribuir una nueva variante de malware mediante envenenamiento SEO
Tabla de contenidos:
Las últimas estadísticas destacan que en 2023, los adversarios desplegaron un promedio de 200,454 scripts de malware únicos por día, lo que equivale a aproximadamente 1.5 muestras nuevas por minuto. Para llevar a cabo ataques de malware exitosos, los actores de amenazas están manejando diferentes métodos maliciosos en un intento de superar las protecciones de seguridad. La última campaña maliciosa en el centro de atención suplanta el software legítimo GlobalProtect VPN de Palo Alto Networks para entregar WikiLoader (también conocido como WailingCrab) a través de envenenamiento SEO.
Detección de ataques de malware WikiLoader
WikiLoader es una amenaza maliciosa sofisticada específicamente diseñada para pasar desapercibida por las soluciones de seguridad. Para identificar ataques potenciales en las primeras etapas y defender proactivamente las redes organizacionales, los profesionales de seguridad requieren algoritmos de detección curados acompañados de soluciones avanzadas para la detección y caza de amenazas.
Plataforma SOC Prime para defensa cibernética colectiva agrega un conjunto de reglas Sigma dedicadas, permitiendo a los defensores cibernéticos identificar infecciones de WikiLoader a tiempo. Simplemente presiona el Explorar detecciones botón a continuación y accede de inmediato a un stack de detección relevante.
Todas las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, incluyendo referencias de inteligencia de amenazas líneas de tiempo de ataques y recomendaciones de triaje, ayudando a suavizar la investigación de amenazas.
Análisis del backdoor WikiLoader
Los investigadores de Unit 42 han descubierto una variante novedosa de WikiLoader que se distribuye a través del envenenamiento SEO como vector de acceso inicial y una versión falsificada del software GlobalProtect VPN de Palo Alto Networks. La última campaña, observada por primera vez a principios del verano de 2024, apunta principalmente a los sectores de educación superior y transporte en EE.UU. y a organizaciones ubicadas en Italia.
WikiLoader (también conocido como WailingCrab) es un cargador malicioso de varias etapas que fue identificado por primera vez en 2022. Los grupos de hackers TA544 y TA551, ambos dirigidos a organizaciones italianas, han sido observados detrás de campañas anteriores de WikiLoader. Los atacantes comúnmente se basaron en un vector de ataque de phishing con correos electrónicos que contenían archivos adjuntos en formato Microsoft Excel, Microsoft OneNote o PDF. En las campañas de adversarios más notables, WikiLoader entregó Ursnif como una segunda carga maliciosa.
WikiLoader es vendido por corredores de acceso inicial en mercados clandestinos, siendo el phishing y los sitios de WordPress comprometidos sus métodos de distribución comunes. Sin embargo, la última campaña cambió el phishing por el envenenamiento SEO para posicionar páginas armadas, promoviendo una VPN falsa en la parte superior de los resultados del motor de búsqueda. Según los defensores, este método expande significativamente el grupo de víctimas potenciales en comparación con el phishing tradicional.
WikiLoader cuenta con sofisticadas técnicas de evasión y elementos codificados a medida destinados a dificultar la detección y análisis de malware. Las técnicas específicas de evasión de defensa de WikiLoader observadas en la última campaña incluyen mostrar un mensaje de error falso al ejecutar el malware, renombrar software legítimo y ocultarlo dentro del instalador falsificado de GlobalProtect para cargar el backdoor, y realizar múltiples verificaciones de análisis anti-malware.
Investigadores de Proofpoint observaron anteriormente al menos tres iteraciones diferentes de WikiLoader, lo que muestra la evolución continua del malware. La versión inicial contenía una estructura de syscall básica, una mínima ofuscación, no había codificación de cadenas, y se creaban dominios falsos manualmente, mientras que la segunda iteración implicó una mayor complejidad de syscalls, implementó bucles adicionales de ocupación, y se basó en codificación de cadenas y eliminación de artefactos. La tercera iteración de WikiLoader involucra una nueva técnica de syscalls indirectos, recuperación de archivos mediante MQTT, exfiltración de cookies, y ejecución de shellcode más compleja.
Los defensores esperan que los grupos de hacking motivados financieramente sigan utilizando WikiLoader como un cargador de Windows versátil y sigiloso en varias campañas debido a su fuerte seguridad operativa. Para ayudar a las organizaciones a obtener una ventaja competitiva sobre las capacidades ofensivas crecientes, SOC Prime equipa a los equipos de seguridad con un conjunto completo de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas para construir una postura de ciberseguridad robusta.