Rilevare gli Attacchi WikiLoader: Gli Avversari Sfruttano il Falso Software VPN GlobalProtect per Distribuire una Nuova Variante di Malware tramite l’Avvelenamento SEO
Indice:
Le ultime statistiche evidenziano che nel 2023, gli avversari hanno distribuito una media di 200.454 script malware unici al giorno, equivalenti a circa 1,5 nuovi campioni al minuto. Per proseguire con attacchi malware di successo, gli attori delle minacce stanno sperimentando diversi metodi malevoli nel tentativo di superare le protezioni di sicurezza. L’ultima campagna malevola al centro dell’attenzione imita il legittimo software VPN GlobalProtect di Palo Alto Networks per distribuire WikiLoader (noto anche come WailingCrab) attraverso il potenziamento SEO.
Rilevamento degli attacchi malware WikiLoader
WikiLoader è una minaccia malevola sofisticata progettata specificamente per passare inosservata alle soluzioni di sicurezza. Per identificare potenziali attacchi nelle prime fasi e difendere proattivamente le reti organizzative, i professionisti della sicurezza necessitano di algoritmi di rilevamento curati accompagnati da soluzioni avanzate per il rilevamento e la caccia delle minacce.
Piattaforma SOC Prime per la difesa informatica collettiva aggrega un set di regole Sigma dedicate, consentendo ai difensori informatici di identificare tempestivamente le infezioni da WikiLoader. Basta premere il Esplora Rilevamenti pulsante qui sotto per accedere immediatamente a uno stack di rilevamento pertinente.
Tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate sul quadro MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con un ampio metadata, inclusi riferimenti Intel sulle minacce , cronologie degli attacchi e raccomandazioni per il triage, contribuendo a semplificare l’investigazione delle minacce.
Analisi del Backdoor WikiLoader
I ricercatori dell’Unit 42 hanno scoperto una nuova variante di WikiLoader distribuita attraverso il potenziamento SEO come vettore di accesso iniziale e una versione imitata del software VPN GlobalProtect di Palo Alto Networks. L’ultima campagna, osservata per la prima volta all’inizio dell’estate 2024, prende principalmente di mira i settori dell’istruzione superiore e dei trasporti negli Stati Uniti e le organizzazioni situate in Italia.
WikiLoader (noto anche come WailingCrab) è un caricatore malevolo a più stadi identificato per la prima volta nel 2022. I gruppi di hacking TA544 e TA551, entrambi mirati alle organizzazioni italiane, sono stati osservati dietro le precedenti campagne WikiLoader. Gli attaccanti si sono spesso basati su un vettore di attacco di phishing con email contenenti allegati in formato Microsoft Excel, Microsoft OneNote o PDF. Nelle campagne avversarie più note, WikiLoader ha consegnato Ursnif come secondo payload dannoso.
WikiLoader è venduto da broker di accesso iniziale su mercati clandestini, con phishing e siti WordPress compromessi che sono i suoi metodi di distribuzione comuni. Tuttavia, l’ultima campagna è passata dal phishing al potenziamento SEO per classificare le pagine armate, promuovendo una falsa VPN in cima ai risultati dei motori di ricerca. Secondo i difensori, questo metodo espande significativamente il pool di potenziali vittime rispetto al phishing tradizionale.
WikiLoader presenta sofisticate tecniche di evasione e elementi codificati su misura volti a ostacolare il rilevamento e l’analisi del malware. Le specifiche tecniche di evasione della difesa di WikiLoader osservate nell’ultima campagna includono la visualizzazione di un falso messaggio di errore all’esecuzione del malware, la rinominazione del software legittimo e il suo nascondimento all’interno dell’installer GlobalProtect imitato per caricare a lato il backdoor, e l’esecuzione di numerosi controlli di analisi antimalware.
I ricercatori di Proofpoint hanno osservato in precedenza almeno tre diverse iterazioni di WikiLoader, che mostrano la continua evoluzione del malware. La versione iniziale conteneva una struttura syscall di base, offuscamento minimo, nessuna codifica delle stringhe e creazione manuale di domini falsi, mentre la seconda iterazione ha implicato una maggiore complessità syscall, implementato cicli aggiuntivi e affidato alla codifica delle stringhe e alla cancellazione degli artefatti. La terza iterazione di WikiLoader coinvolge una nuova tecnica syscall indiretta, il recupero di file tramite MQTT, l’esfiltrazione di cookie e un’esecuzione di shellcode più complessa.
I difensori si aspettano che i gruppi di hacking a fini finanziari continueranno a utilizzare WikiLoader come un caricatore Windows versatile e furtivo in varie campagne a causa della sua forte sicurezza operativa. Per aiutare le organizzazioni a ottenere un vantaggio competitivo sulle crescenti capacità offensive, SOC Prime equipaggia i team di sicurezza con un’intera suite di prodotti per il rilevamento ingegneristico alimentato dall’IA, la caccia automatizzata delle minacce e il rilevamento avanzato delle minacce per costruire una robusta postura di cybersecurity.
