【安全资讯】WikiLoader恶意软件通过SEO攻击演变,瞄准GlobalProtect用户
概要:
近期,Unit 42的管理威胁狩猎团队发现了一项复杂的网络攻击活动,该活动利用了一种独特的WikiLoader恶意软件变种。攻击者通过搜索引擎优化(SEO)伪装成Palo Alto Networks的GlobalProtect VPN解决方案,以传播恶意软件。这一策略的转变引发了广泛关注,尤其是在教育和交通运输等行业。主要内容:
WikiLoader自2022年底以来活跃,最初主要依赖网络钓鱼作为传播手段。然而,Unit 42在2024年6月观察到攻击者采用了SEO投毒策略,优化恶意网站以在搜索引擎结果中排名靠前,诱导用户下载伪装的GlobalProtect安装程序。此策略的影响显著,SEO投毒可能影响更广泛的受众,尤其是针对热门搜索词的攻击,增加了各行业用户的风险。攻击者使用了多种先进的规避技术来绕过传统检测机制,包括:
1. 伪造网站:创建与合法GlobalProtect下载页面相似的网站,以交付WikiLoader恶意软件。
2. MQTT协议:利用MQTT IoT事件队列协议进行命令与控制(C2)通信,使检测更加困难。
3. 签名二进制文件:通过合法签名的二进制文件传递恶意软件,绕过安全控制。
4. 复杂加密:恶意软件的shellcode被加密并与主可执行文件分开存储,增加了静态分析的难度。
用户在不知情的情况下下载并运行伪装的GlobalProtect安装程序后,恶意软件便开始执行一系列动作,最终在系统中建立持久性,确保即使在系统重启后仍然活跃。Unit 42提醒组织保持警惕,采取主动措施应对这一不断演变的威胁。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享