Tin tặc sử dụng phần mềm VPN GlobalProtect giả mạo để tấn công phát tán mã độc

Một chiến dịch mã độc mới giả mạo phần mềm VPN GlobalProtect của Palo Alto Networks để phát tán biến thể WikiLoader (hay còn gọi là WailingCrab).

Các chuyên gia phát hiện phần mềm giả mạo được quảng cáo thông qua công cụ tìm kiếm SEO, thay đổi chiến thuật so với hình thức quen thuộc trước đó là phát tán qua email phishing.

WikiLoader được ghi nhận lần đầu tiên vào tháng 8/2023, sử dụng bởi hacker TA544 nhằm triển khai trojan ngân hàng Danabot và Ursnif.

“Những kẻ tấn công thường sử dụng SEO độc hại làm vectơ truy cập ban đầu, lừa người dùng truy cập vào một trang giả mạo kết quả tìm kiếm nhằm phát tán mã độc”, các nhà nghiên cứu cho biết.

“Cơ sở hạ tầng phân phối của chiến dịch này sử dụng trang web giả mạo đổi tên thành GlobalProtect cùng với các kho lưu trữ Git dựa trên đám mây”.

Do đó, người dùng tìm kiếm phần mềm GlobalProtect sẽ được hiển thị quảng cáo SEO, mà khi nhấp vào sẽ chuyển hướng đến trang tải xuống GlobalProtect giả mạo. Từ đó kích hoạt chuỗi lây nhiễm.

Trước đó vài ngày, Trend Micro cũng phát hiện một chiến dịch khác sử dụng phần mềm VPN GlobalProtect giả mạo để lây nhiễm mã độc vào người dùng ở Trung Đông.

Nguồn: The Hacker News