Detectar Ataques WikiLoader: Adversários Utilizam Software Fake GlobalProtect VPN para Distribuir uma Nova Variante de Malware através de Envenenamento de SEO
Índice:
As últimas estatísticas destacam que em 2023, os adversários implantaram uma média de 200.454 scripts de malware exclusivos por dia, o que equivale a aproximadamente 1,5 novas amostras por minuto. Para seguir com ataques de malware bem-sucedidos, os atores da ameaça estão lidando com diferentes métodos maliciosos na tentativa de superar as proteções de segurança. A mais recente campanha maliciosa em destaque imita o software legítimo GlobalProtect VPN da Palo Alto Networks para entregar o WikiLoader (também conhecido como WailingCrab) através de envenenamento de SEO.
Detecção de Ataques de Malware WikiLoader
WikiLoader é uma ameaça maliciosa sofisticada projetada especificamente para passar despercebida pelas soluções de segurança. Para identificar possíveis ataques nos estágios iniciais e defender proativamente as redes organizacionais, os profissionais de segurança precisam de algoritmos de detecção selecionados acompanhados de soluções avançadas para detecção e caça de ameaças.
Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma dedicadas, permitindo que os defensores cibernéticos identifiquem infecções WikiLoader a tempo. Basta pressionar o Explorar Detecções botão abaixo e acessar imediatamente um conjunto de detecção relevante.
Todas as regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com metadados extensos, incluindo inteligência de ameaças referências, cronogramas de ataque e recomendações de triagem, ajudando a facilitar a investigação de ameaças.
Análise do Backdoor WikiLoader
Os pesquisadores da Unit 42 descobriram uma variante inédita do WikiLoader sendo distribuída através do envenenamento de SEO como o vetor de acesso inicial e uma versão falsa do software de VPN GlobalProtect da Palo Alto Networks. A campanha mais recente, observada pela primeira vez no início do verão de 2024, tem como alvo principal os setores de educação superior e transporte dos EUA e organizações localizadas na Itália.
WikiLoader (também conhecido como WailingCrab) é um carregador malicioso em várias etapas que foi identificado pela primeira vez em 2022. Os grupos de hackers TA544 e TA551, ambos visando organizações italianas, foram observados por trás de campanhas anteriores do WikiLoader. Os atacantes comumente se basearam em um vetor de ataque de phishing com e-mails contendo anexos nos formatos Microsoft Excel, Microsoft OneNote ou PDF. Nas campanhas adversárias mais notáveis, WikiLoader entregou Ursnif como um segundo payload malicioso.
WikiLoader é vendido por corretores de acesso inicial em mercados clandestinos, com phishing e sites WordPress comprometidos sendo seus métodos comuns de distribuição. No entanto, a campanha mais recente mudou do phishing para o envenenamento de SEO para classificar páginas armadas, promovendo uma VPN falsa no topo dos resultados dos motores de busca. De acordo com os defensores, esse método expande significativamente o leque de potenciais vítimas em comparação com o phishing tradicional.
WikiLoader apresenta técnicas sofisticadas de evasão e elementos personalizados codificados destinados a dificultar a detecção e análise do malware. As técnicas específicas de evasão de defesa do WikiLoader observadas na campanha mais recente incluem a exibição de uma mensagem de erro falsa durante a execução do malware, renomeação de software legítimo e ocultação dentro do instalador falsificado do GlobalProtect para carregar o backdoor e realizar várias verificações de análise anti-malware.
Os pesquisadores da Proofpoint observaram anteriormente pelo menos três iterações diferentes do WikiLoader, o que demonstra a evolução contínua do malware. A versão inicial continha uma estrutura básica de syscall, obfuscação mínima, sem codificação de strings e criação manual de domínios falsos, enquanto a segunda iteração envolveu maior complexidade de syscall, implementou loops adicionais e confiou na codificação de strings e exclusão de artefatos. A terceira iteração do WikiLoader envolve uma nova técnica de syscall indireto, recuperação de arquivos via MQTT, exfiltração de cookies e execução de shellcode mais complexa.
Os defensores esperam que grupos de hackers financeiramente motivados continuem usando o WikiLoader como um carregador versátil e furtivo do Windows em várias campanhas devido à sua forte segurança operacional. Para ajudar as organizações a ganhar uma vantagem competitiva sobre as crescentes capacidades ofensivas, a SOC Prime equipa as equipes de segurança com um conjunto completo de produtos para engenharia de detecção impulsionada por IA, caça automatizada de ameaças e detecção avançada de ameaças para construir uma postura robusta de cibersegurança.