Una nuova campagna malware sta utilizzando software VPN falso di GlobalProtect per distribuire una variante del WikiLoader tramite una strategia di ottimizzazione per i motori di ricerca (SEO). Questa attività di malvertising, osservata a giugno 2024, segna una deviazione dalle tattiche precedentemente osservate, in cui il malware veniva propagato tramite email di phishing tradizionali. Secondo i ricercatori di Unit 42, Mark Lim e Tom Marsden, WikiLoader, documentato per la prima volta da Proofpoint nell'agosto 2023, è stato attribuito a un attore di minacce noto come TA544, con attacchi email che sfruttano il malware per distribuire Danabot e Ursnif.

Ad aprile, la società di cybersecurity sudcoreana AhnLab ha dettagliato una campagna di attacco che sfruttava una versione trojanizzata di un plugin di Notepad++ come vettore di distribuzione. Il loader a noleggio è sospettato di essere utilizzato da almeno due intermediari di accesso iniziale (IAB), affermando che le catene di attacco sono caratterizzate da tattiche che consentono di eludere gli strumenti di sicurezza. Gli aggressori utilizzano comunemente l'avvelenamento SEO come vettore di accesso iniziale per ingannare le persone a visitare una pagina che imita il risultato di ricerca legittimo per distribuire malware anziché il prodotto cercato. L'infrastruttura di consegna di questa campagna ha sfruttato siti web clonati etichettati come GlobalProtect insieme a repository Git basati su cloud.

Gli utenti che cercano il software GlobalProtect vengono mostrati annunci Google che, una volta cliccati, reindirizzano gli utenti a una pagina di download falsa di GlobalProtect, innescando efficacemente la sequenza di infezione. L'installer MSI include un eseguibile ("GlobalProtect64.exe") che, in realtà, è una versione rinominata di un'applicazione di trading legittima di TD Ameritrade (ora parte di Charles Schwab) utilizzata per caricare una DLL dannosa denominata "i4jinst.dll". Questo apre la strada all'esecuzione di shellcode che passa attraverso una sequenza di passaggi per scaricare e lanciare il backdoor WikiLoader da un server remoto. Per migliorare ulteriormente la percezione di legittimità dell'installer e ingannare le vittime, alla fine del processo viene mostrato un messaggio di errore falso, affermando che alcune librerie mancano dai computer Windows.

Oltre all'uso di versioni rinominate di software legittimi per caricare il malware, gli attori delle minacce hanno incorporato controlli anti-analisi che determinano se WikiLoader sta funzionando in un ambiente virtualizzato e si terminano quando vengono trovati processi relativi al software di macchine virtuali. Anche se il motivo del passaggio dal phishing all'avvelenamento SEO come meccanismo di diffusione non è chiaro, Unit 42 ha teorizzato che è possibile che la campagna sia opera di un altro IAB o che i gruppi esistenti che distribuiscono il malware lo abbiano fatto in risposta alla divulgazione pubblica. La combinazione di infrastrutture falsificate, compromesse e legittime utilizzate dalle campagne WikiLoader rafforza l'attenzione degli autori del malware per costruire un loader operativo sicuro e robusto, con configurazioni multiple di comando e controllo. La divulgazione arriva pochi giorni dopo che Trend Micro ha scoperto una nuova campagna che sfrutta anche un software VPN GlobalProtect falso per infettare gli utenti in Medio Oriente con malware backdoor.