Cyberattackers Spoof Palo Alto VPNs to Spread WikiLoader Variant
2024/09/04 DarkReading — サイバー犯罪者たちは、Palo Alto の VPN (virtual private network) ソフトウェアである GlobalProtect の販売者になりすまし、SEO (search engine optimization) ポイズニングを通じて WikiLoader マルウェアの新しい亜種を配信している。
WikiLoader (別名 WailingCrab) は、Proofpoint により 2022年に発見されたダウンローダー型マルウェアである。IAB (initial access brokers) によりアンダーグラウンド市場で販売される WikiLoader は、ハッカーたちにより悪用されることで、伝統的なフィッシング技術と侵害済みの WordPress サイトを介してマルウェアを拡散していく。
2024年6月に Palo Alto の Unit 42 Managed Threat Hunting チームにより発見された、今回のキャンペーンでは、攻撃者が管理する VPN を宣伝する Web ページを、検索エンジンの検索結果の上位に表示させる SEO ポイズニング手法が用いられていることが判明した。Unit42 によると、この悪意の SEO により、従来のフィッシングと比較して、潜在的な被害者の範囲が広がったという。
このキャンペーンの主な標的は、米国の高等教育機関や運輸部門と、イタリアに拠点を置く組織となっている。
Unit 42 はレポートで、「SEO ポイズニングは新しい手法ではないが、エンドポイントにローダーを配信する効果的な方法であることに変わりはない。信頼できるセキュリティ・ソフトウェアになりすますことで、ファイル名ベースの許可リストに依存している組織の、エンドポイント制御を効果的にバイパスする可能性が高まる」と述べている。
どこかで似たような話を聞いたと思い、このブログ内を検索してみたら、2023/04/22 の「BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布」という記事が見つかりました。今回の件も、Palo Alto の元記事には、Google 広告に触れている部分があります。このような詐欺を避けるためにも、ファイルのダウンロード元には、十分に お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.