Détecter les Attaques WikiLoader : Les Adversaires Exploitent un Faux Logiciel VPN GlobalProtect pour Délivrer une Nouvelle Variante de Malware via un Empoisonnement SEO
Table des matières :
Les dernières statistiques soulignent qu’en 2023, les adversaires ont déployé en moyenne 200 454 scripts de logiciels malveillants uniques par jour, soit environ 1,5 nouvel échantillon par minute. Pour réussir leurs attaques par logiciels malveillants, les acteurs de la menace jonglent avec différentes méthodes malveillantes dans le but de contourner les protections de sécurité. La dernière campagne malveillante mise en lumière parodie le logiciel légitime GlobalProtect VPN de Palo Alto Networks pour diffuser WikiLoader (alias WailingCrab) par empoisonnement SEO.
Détection des attaques de WikiLoader Malware
WikiLoader est une menace malveillante sophistiquée spécifiquement conçue pour échapper aux radars des solutions de sécurité. Pour identifier les attaques potentielles aux premiers stades et défendre de manière proactive les réseaux des organisations, les professionnels de la sécurité nécessitent des algorithmes de détection systématiquement accompagnés de solutions avancées pour la détection et la chasse aux menaces.
Platforme SOC Prime pour la défense cybernétique collective agrège un ensemble de règles Sigma dédiées, permettant aux défenseurs cyber de détecter à temps les infections WikiLoader. Il suffit d’appuyer sur le Explorer les Détections bouton ci-dessous et d’accéder immédiatement à un ensemble de détections pertinent.
Toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR, et Data Lake et sont mappées sur le cadre MITRE ATT&CK®. De plus, les détections sont enrichies de métadonnées complètes, incluant les renseignements sur les menaces références, chronologies des attaques et recommandations de triage, aidant à simplifier l’enquête sur les menaces.
Analyse du Cheval de Troie WikiLoader
Les chercheurs de l’Unit 42 ont découvert une nouvelle variante de WikiLoader distribuée via l’empoisonnement SEO comme vecteur d’accès initial et une version usurpée du logiciel GlobalProtect VPN de Palo Alto Networks. La dernière campagne, observée pour la première fois début été 2024, cible principalement les secteurs de l’éducation supérieure et des transports aux États-Unis et des organisations situées en Italie.
WikiLoader (alias WailingCrab) est un chargeur malveillant multi-étages identifié pour la première fois en 2022. Les groupes de hackers TA544 et TA551, ciblant tous deux des organisations italiennes, ont été observés derrière les précédentes campagnes WikiLoader. Les attaquants comptaient souvent sur un vecteur d’attaque par hameçonnage avec des e-mails contenant des pièces jointes au format Microsoft Excel, Microsoft OneNote ou PDF. Dans les campagnes ennemies les plus notables, WikiLoader livrait Ursnif en tant que seconde charge utile malveillante.
WikiLoader est vendu par des courtiers d’accès initiaux sur les marchés souterrains, avec l’hameçonnage et les sites WordPress compromis étant ses méthodes de distribution courantes. Cependant, la dernière campagne est passée de l’hameçonnage à l’empoisonnement SEO pour faire figurer les pages armées en haut des résultats des moteurs de recherche, promouvant un VPN factice. Selon les défenseurs, cette méthode élargit considérablement le pool de victimes potentielles par rapport à l’hameçonnage traditionnel.
WikiLoader offre des techniques d’évasion sophistiquées et des éléments codés sur mesure visant à entraver la détection et l’analyse des logiciels malveillants. Les techniques d’évasion de la défense WikiLoader spécifiques observées dans la dernière campagne incluent l’affichage d’un faux message d’erreur lors de l’exécution du malware, le renommage de logiciels légitimes en les cachant à l’intérieur de l’installateur GlobalProtect usurpé pour charger en mémoire le cheval de Troie, et la réalisation de multiples vérifications d’analyse anti-malware.
Les chercheurs de Proofpoint ont précédemment observé au moins trois itérations différentes de WikiLoader, ce qui montre l’évolution continue du malware. La version initiale contenait une structure syscall basique, une obfuscation minimale, aucune encodage de chaînes et la création manuelle de domaines factices, tandis que la seconde itération impliquait une complexité accrue des syscall, l’ajout de boucles de charge, et reposait sur l’encodage des chaînes et la suppression d’artefacts. La troisième itération de WikiLoader implique une nouvelle technique de syscall indirect, une récupération de fichiers via MQTT, une exfiltration de cookies, et une exécution de shellcode plus complexe.
Les défenseurs s’attendent à ce que les groupes de hackers motivés financièrement continuent d’utiliser WikiLoader comme un chargeur Windows polyvalent et furtif dans diverses campagnes en raison de sa forte sécurité opérationnelle. Pour aider les organisations à obtenir un avantage concurrentiel sur les capacités offensives croissantes, SOC Prime équipe les équipes de sécurité d’ une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la détection avancée des menaces pour établir une posture de cybersécurité robuste.
