Detectar Ataques WikiLoader: Adversários Utilizam Software Fake GlobalProtect VPN para Distribuir uma Nova Variante de Malware através de Envenenamento de SEO

[post-views]
Setembro 04, 2024 · 4 min de leitura
Detectar Ataques WikiLoader: Adversários Utilizam Software Fake GlobalProtect VPN para Distribuir uma Nova Variante de Malware através de Envenenamento de SEO

As últimas estatísticas destacam que em 2023, os adversários implantaram uma média de 200.454 scripts de malware exclusivos por dia, o que equivale a aproximadamente 1,5 novas amostras por minuto. Para seguir com ataques de malware bem-sucedidos, os atores da ameaça estão lidando com diferentes métodos maliciosos na tentativa de superar as proteções de segurança. A mais recente campanha maliciosa em destaque imita o software legítimo GlobalProtect VPN da Palo Alto Networks para entregar o WikiLoader (também conhecido como WailingCrab) através de envenenamento de SEO. 

Detecção de Ataques de Malware WikiLoader

WikiLoader é uma ameaça maliciosa sofisticada projetada especificamente para passar despercebida pelas soluções de segurança. Para identificar possíveis ataques nos estágios iniciais e defender proativamente as redes organizacionais, os profissionais de segurança precisam de algoritmos de detecção selecionados acompanhados de soluções avançadas para detecção e caça de ameaças. 

Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma dedicadas, permitindo que os defensores cibernéticos identifiquem infecções WikiLoader a tempo. Basta pressionar o Explorar Detecções botão abaixo e acessar imediatamente um conjunto de detecção relevante.

Explorar Detecções

Todas as regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com metadados extensos, incluindo inteligência de ameaças referências, cronogramas de ataque e recomendações de triagem, ajudando a facilitar a investigação de ameaças.

Análise do Backdoor WikiLoader

Os pesquisadores da Unit 42 descobriram uma variante inédita do WikiLoader sendo distribuída através do envenenamento de SEO como o vetor de acesso inicial e uma versão falsa do software de VPN GlobalProtect da Palo Alto Networks. A campanha mais recente, observada pela primeira vez no início do verão de 2024, tem como alvo principal os setores de educação superior e transporte dos EUA e organizações localizadas na Itália.

WikiLoader (também conhecido como WailingCrab) é um carregador malicioso em várias etapas que foi identificado pela primeira vez em 2022. Os grupos de hackers TA544 e TA551, ambos visando organizações italianas, foram observados por trás de campanhas anteriores do WikiLoader. Os atacantes comumente se basearam em um vetor de ataque de phishing com e-mails contendo anexos nos formatos Microsoft Excel, Microsoft OneNote ou PDF. Nas campanhas adversárias mais notáveis, WikiLoader entregou Ursnif como um segundo payload malicioso. 

WikiLoader é vendido por corretores de acesso inicial em mercados clandestinos, com phishing e sites WordPress comprometidos sendo seus métodos comuns de distribuição. No entanto, a campanha mais recente mudou do phishing para o envenenamento de SEO para classificar páginas armadas, promovendo uma VPN falsa no topo dos resultados dos motores de busca. De acordo com os defensores, esse método expande significativamente o leque de potenciais vítimas em comparação com o phishing tradicional.

WikiLoader apresenta técnicas sofisticadas de evasão e elementos personalizados codificados destinados a dificultar a detecção e análise do malware. As técnicas específicas de evasão de defesa do WikiLoader observadas na campanha mais recente incluem a exibição de uma mensagem de erro falsa durante a execução do malware, renomeação de software legítimo e ocultação dentro do instalador falsificado do GlobalProtect para carregar o backdoor e realizar várias verificações de análise anti-malware.

Os pesquisadores da Proofpoint observaram anteriormente pelo menos três iterações diferentes do WikiLoader, o que demonstra a evolução contínua do malware. A versão inicial continha uma estrutura básica de syscall, obfuscação mínima, sem codificação de strings e criação manual de domínios falsos, enquanto a segunda iteração envolveu maior complexidade de syscall, implementou loops adicionais e confiou na codificação de strings e exclusão de artefatos. A terceira iteração do WikiLoader envolve uma nova técnica de syscall indireto, recuperação de arquivos via MQTT, exfiltração de cookies e execução de shellcode mais complexa.

Os defensores esperam que grupos de hackers financeiramente motivados continuem usando o WikiLoader como um carregador versátil e furtivo do Windows em várias campanhas devido à sua forte segurança operacional. Para ajudar as organizações a ganhar uma vantagem competitiva sobre as crescentes capacidades ofensivas, a SOC Prime equipa as equipes de segurança com um conjunto completo de produtos para engenharia de detecção impulsionada por IA, caça automatizada de ameaças e detecção avançada de ameaças para construir uma postura robusta de cibersegurança. 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas