Palo Alto Networks ha confirmado que su software de red privada virtual (VPN), GlobalProtect, se utilizó para distribuir una nueva variante del malware de carga WikiLoader.
En un informe publicado el 2 de septiembre, la unidad de inteligencia de amenazas Unit 42 de Palo Alto Networks compartió sus hallazgos sobre una campaña de WikiLoader que aprovechó el envenenamiento de optimización de motores de búsqueda (SEO) con temática de GlobalProtect. Esta táctica de phishing nunca antes se había asociado con la distribución de WikiLoader.
La campaña fue detectada en junio de 2024 por el equipo Managed Threat Hunting (MTH) de la Unidad 42, que transmitió sus hallazgos al equipo de ingeniería inversa de Advanced WildFire, otra unidad dentro de Palo Alto Networks, para su distribución y análisis de técnicas de infección y evasión.
Antecedentes de WikiLoader
WikiLoader es un malware de descarga avanzado identificado por primera vez por la empresa de seguridad Proofpoint en 2022 y publicado en 2023. También conocido como Cangrejo de los Lamentos.
Los actores de amenazas suelen utilizar técnicas de phishing tradicionales para difundir WikiLoader, como sitios de WordPress comprometidos y corredores públicos de transporte de telemetría MQ (MQTT) como servidores de comando y control (C2).
WikiLoader normalmente lo venden en el mercado clandestino los corredores de acceso inicial (IAB).
Según Unit 42, la campaña inicial de WikiLoader afectó principalmente a los sectores de educación superior y transporte en los Estados Unidos.
Proofpoint también informó que los atacantes utilizaron esta amenaza para distribuir troyanos bancarios como Danabot y Ursnif/Gozi a organizaciones con sede en Italia.
Envenenamiento SEO y campañas de suplantación de identidad de GlobalProtect
En junio de 2024, la Unidad 42 detectó una nueva campaña de WikiLoader que utilizaba una técnica de difusión diferente llamada envenenamiento SEO.
El envenenamiento de SEO es el proceso de obligar a un sitio controlado por un atacante a aparecer en la parte superior de los resultados de los motores de búsqueda para productos legítimos mediante la compra de anuncios o la mejora del ranking de la página.
“Los atacantes amenazantes suelen utilizar el envenenamiento de SEO como vector de acceso inicial, incitando a las personas a visitar páginas disfrazadas de resultados de búsqueda legítimos y entregando malware en lugar del producto buscado”. “La infraestructura de entrega aprovechó un sitio web clonado y un repositorio Git basado en la nube”. fue reetiquetado como GlobalProtect”, escribió la Unidad 42 en el informe.
Debido a este método de distribución, los investigadores de amenazas evaluaron que la nueva campaña “casi con seguridad ampliará el número de víctimas potenciales en comparación con el phishing”.
Posible nuevo corredor de acceso temprano para distribuir WikiLoader
Los investigadores de amenazas admiten que no saben por qué los actores de amenazas utilizaron este nuevo método de distribución, pero la hipótesis principal es que otro IAB ha estado trabajando con WikiLoader para operar distribuciones de envenenamiento de SEO en los últimos meses. Se dice que ha comenzado a cambiar.
“Alternativamente, los grupos rastreados públicamente usando WikiLoader pueden haber pasado del phishing al envenenamiento de SEO después de que sus actividades se vieron interrumpidas por controles de seguridad mejorados en los terminales o informes de la industria”.
El informe también observó una combinación de infraestructura falsificada, comprometida y legítima aprovechada en la campaña WikiLoader, lo que indica que los operadores de malware están utilizando múltiples configuraciones C2 para crear una infraestructura operativa segura y robusta. Dice que enfatiza su enfoque en la construcción de cargadores.
“Los autores creen que es probable que el uso de WikiLoader continúe más allá de 2024”, concluye el informe.
https://www.infosecurity-magazine.com/news/palo-alto-vpn-spoofed-wikiloader/
