Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA CAMPAÑA DE DISTRIBUCIÓN DE WIKILOADER

06/11/2024

NUEVA CAMPAÑA DE DISTRIBUCIÓN DE WIKILOADER
El equipo de analistas del CSIRT Financiero detectó una nueva campaña que utiliza técnicas de envenenamiento de SEO, un proceso que permite que un sitio web ilegítimo aparezca como el primer resultado en los motores de búsqueda, ya sea mediante la compra de anuncios o la manipulación del ranking de la página.

Descripción:

En este caso, el objetivo principal de la campaña maliciosa fue suplantar a Palo Alto y, específicamente, a la herramienta de VPN GlobalProtect, logrando que los usuarios descargaran en su lugar una variante del loader WikiLoader, también conocido como WailingCrab.

Una vez descargado y ejecutado el archivo llamado “GlobalProtect64.exe”, se carga el primer componente de WikiLoader, una DLL denominada “i4jinst.dll”. Esta DLL lee y descifra el contenido del archivo “certificate.pem”, que contiene el shell de la primera etapa, el cual posteriormente se inyecta en el proceso explorer.exe para contactar con un sitio comprometido que ejecuta WordPress CMS y actúa como servidor de comando y control (C2) para descargar la puerta trasera del loader.

El código inyectado carga lateralmente la puerta trasera descargada del servidor C2, con el nombre “license_us_EN.html”. Para establecer persistencia, el malware genera una tarea programada para ejecutar este archivo HTML, que se renombra aleatoriamente y se guarda en una carpeta, también con un nombre aleatorio, en ProgramData, junto con un archivo con extensión .PEM y la puerta trasera con extensión .DLL. Al finalizar el proceso de infección en el equipo, WikiLoader muestra un mensaje de error falso relacionado con una falla en la instalación de la VPN GlobalProtect, lo cual disuade a los usuarios de que se encuentran en un proceso de infección.

Esta amenaza verifica los procesos que se ejecutan en el equipo comparándolos con una lista de hashes de software comúnmente utilizado para el análisis de malware, con el objetivo de detectar si está siendo ejecutada en un entorno controlado (sandbox) y, de ser así, finalizar el proceso de infección.

 

Vector de infección:

Se evidenció que, para distribuir esta amenaza, los ciberdelincuentes utilizaron técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que visitaran un sitio web ilegítimo que suplantaba la página de descarga del cliente de la VPN GlobalProtect, ofreciendo instaladores falsificados de esta herramienta.

 

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Mantener los sistemas operativos y aplicaciones actualizadas con los últimos parches de seguridad que lanzan los proveedores.
  • Asegurarse de que todos los instaladores de software, especialmente aquellos críticos como clientes de VPN, provengan de fuentes confiables y estén firmados digitalmente.

Leer noticia: https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/