【安全资讯】WikiLoader恶意软件通过SEO攻击演变，瞄准GlobalProtect用户

概要：

近期，Unit 42的管理威胁狩猎团队发现了一项复杂的网络攻击活动，该活动利用了一种独特的WikiLoader恶意软件变种。攻击者通过搜索引擎优化（SEO）伪装成Palo Alto Networks的GlobalProtect VPN解决方案，以传播恶意软件。这一策略的转变引发了广泛关注，尤其是在教育和交通运输等行业。

主要内容：

WikiLoader自2022年底以来活跃，最初主要依赖网络钓鱼作为传播手段。然而，Unit 42在2024年6月观察到攻击者采用了SEO投毒策略，优化恶意网站以在搜索引擎结果中排名靠前，诱导用户下载伪装的GlobalProtect安装程序。此策略的影响显著，SEO投毒可能影响更广泛的受众，尤其是针对热门搜索词的攻击，增加了各行业用户的风险。

攻击者使用了多种先进的规避技术来绕过传统检测机制，包括：

1. 伪造网站：创建与合法GlobalProtect下载页面相似的网站，以交付WikiLoader恶意软件。

2. MQTT协议：利用MQTT IoT事件队列协议进行命令与控制（C2）通信，使检测更加困难。

3. 签名二进制文件：通过合法签名的二进制文件传递恶意软件，绕过安全控制。

4. 复杂加密：恶意软件的shellcode被加密并与主可执行文件分开存储，增加了静态分析的难度。

用户在不知情的情况下下载并运行伪装的GlobalProtect安装程序后，恶意软件便开始执行一系列动作，最终在系统中建立持久性，确保即使在系统重启后仍然活跃。Unit 42提醒组织保持警惕，采取主动措施应对这一不断演变的威胁。