Hacker Gunakan VPN Palsu GlobalProtect untuk Serangan Malware

Kampanye malware baru yang sedang terjadi menunjukkan kecanggihan dalam metode penyebarannya, dengan meniru perangkat lunak GlobalProtect VPN dari Palo Alto Networks. Strategi ini tidak hanya bertujuan untuk menciptakan ilusi kepercayaan di antara pengguna, tetapi juga dirancang untuk memfasilitasi penyebaran varian WikiLoader (alias WailingCrab) loader melalui kampanye optimasi mesin pencari (SEO) yang cerdik. Para pelaku ancaman memanfaatkan teknik SEO untuk menempatkan situs web berbahaya mereka di posisi teratas hasil pencarian, sehingga menarik perhatian pengguna yang tidak curiga yang mencari solusi VPN yang legitimate 

Aktivitas malvertising yang teramati pada bulan Juni 2024 ini merupakan evolusi signifikan dari taktik sebelumnya, di mana malware ini disebarkan melalui email phishing tradisional. Menurut para peneliti Unit 42, Mark Lim dan Tom Marsden, pergeseran ini menunjukkan adaptasi strategis terhadap peningkatan kesadaran keamanan di kalangan pengguna dan peningkatan efektivitas filter spam.

Dengan mengadopsi pendekatan berbasis SEO, para penyerang tidak hanya memperluas jangkauan serangan mereka, tetapi juga meningkatkan peluang sukses dalam menipu pengguna agar mengunduh malware yang tampaknya legitim. Hal ini menggarisbawahi perlunya kesadaran akan ancaman yang terus berkembang di dunia cyber saat ini

WikiLoader, yang pertama kali didokumentasikan oleh Proofpoint pada bulan Agustus 2023, telah dikaitkan dengan ancaman aktor yang dikenal sebagai TA544, dengan serangan email yang memanfaatkan malware tersebut untuk menyebarkan Danabot dan Ursnif. Selanjutnya, pada bulan April lalu, perusahaan keamanan siber Korea Selatan, AhnLab, menguraikan kampanye serangan yang memanfaatkan versi trojan dari plugin Notepad++ sebagai vektor distribusi.

Di sisi lain, loader yang disewakan ini diduga digunakan oleh setidaknya dua pialang akses awal (IAB), menurut Unit 42, yang menyatakan bahwa rantai serangan ini diumumkan oleh taktik yang memungkinkan untuk menghindari deteksi oleh alat keamanan.

"Pelaku sering menggunakan pemrosesan SEO sebagai vektor akses awal untuk menipu orang agar mengunjungi halaman yang meniru hasil pencarian yang sah guna menyebarkan malware, bukan produk yang dicari," ungkap para peneliti.

"Infrastruktur pengiriman kampanye ini memanfaatkan situs web yang dipalsukan dan diberi label sebagai GlobalProtect serta repositori Git berbasis cloud."

Dengan demikian, pengguna yang mencari perangkat lunak GlobalProtect akan melihat iklan Google yang, ketika diklik, mengarahkan mereka ke halaman unduh GlobalProtect palsu, yang secara efektif memicu urutan infeksi. Installer MSI termasuk executable ("GlobalProtect64.exe") yang sebenarnya merupakan versi yang diubah nama dari aplikasi perdagangan saham yang sah dari TD Ameritrade (sekarang bagian dari Charles Schwab) yang digunakan untuk menyisipkan DLL jahat bernama "i4jinst.dll".

Ini membuka jalan bagi eksekusi shellcode yang melalui serangkaian langkah untuk akhirnya mengunduh dan meluncurkan backdoor WikiLoader dari server jarak jauh. Untuk lebih meningkatkan legitimasi tampak installer dan menipu korban, sebuah pesan kesalahan palsu ditampilkan di akhir seluruh proses, menyatakan bahwa sejumlah pustaka hilang dari komputer Windows mereka.

Selain menggunakan versi perangkat lunak yang telah diubah namanya untuk menyisipkan malware, pelaku ancaman juga telah memasukkan pemeriksaan anti-analisis yang menentukan apakah WikiLoader berjalan di lingkungan virtualisasi dan mengakhiri dirinya sendiri ketika proses yang terkait dengan perangkat lunak mesin virtual ditemukan.

Sementara alasan pergeseran dari phishing ke transmisi SEO sebagai mekanisme penyebaran masih belum jelas, Unit 42 berspekulasi bahwa mungkin kampanye ini merupakan hasil kerja IAB lain atau bahwa kelompok yang sudah ada dalam menyebarkan malware telah melakukannya sebagai respons terhadap penyebaran publik.

"Kombinasi jaringan yang dipalsukan, dikompromikan, dan legitimasi yang digunakan oleh kampanye WikiLoader memperkuat perhatian penulis malware terhadap pembangunan loader yang aman secara operasional dan kuat, dengan beberapa konfigurasi [command-and-control]." ungkapkan para peneliti.

Pengungkapan ini muncul beberapa hari setelah Trend Micro menemukan kampanye baru yang juga memanfaatkan perangkat lunak VPN GlobalProtect palsu untuk menginfeksi pengguna di Timur Tengah dengan malware backdoor.