แฮกเกอร์แอบอ้าง Palo Alto VPN เพื่อแพร่กระจายมัลแวร์ WikiLoader

309/67 (IT) ประจำวันพฤหัสบดีที่ 5 กันยายน 2567

แฮกเกอร์ได้ปลอมตัวเป็นผู้ขายซอฟต์แวร์ GlobalProtect VPN ของ Palo Alto Networks เพื่อแพร่กระจายมัลแวร์ WikiLoader รุ่นใหม่ผ่านการโจมตีที่เรียกว่า SEO Poisoning หรือการเพิ่มประสิทธิภาพเครื่องมือค้นหา (SEO) ที่เป็นอันตราย โดยการใช้วิธีนี้เพื่อทำให้เว็บไซต์ปลอมที่พวกเขาสร้างขึ้นมา ไปปรากฏบนผลการค้นหาในตำแหน่งสูงสุดบน search engine ทำให้มีโอกาสที่เหยื่อจะหลงเชื่อและดาวน์โหลดซอฟต์แวร์ปลอมนี้มากขึ้น

WikiLoader หรือที่รู้จักในชื่อ WailingCrab เป็นมัลแวร์ที่ถูกค้นพบครั้งแรกในปี 2022 โดยบริษัท Proofpoint และมักจะถูกขายใน Dark web โดยเมื่อก่อนี้แฮกเกอร์มักจะใช้เทคนิคการทำฟิชชิ่งแบบดั้งเดิม และเจาะเข้าเว็บไซต์เพื่อแพร่กระจายมัลแวร์ แต่ในแคมเปญล่าสุดนี้ นักวิจัยจาก Unit 42 ของ Palo Alto พบว่าผู้โจมตีได้เปลี่ยนไปใช้เทคนิค SEO poisoning attacks โดยเป็นวิธีการที่แฮกเกอร์ทำการเพิ่มอันดับของเว็บไซต์ของตนเองที่ใช้สำหรับแพร่กระจายมัลแวร์บน search engine ทำให้เว็บไซต์เหล่านั้นขึ้นไปอยู่บนหน้าแรก ๆ ของผลการค้นหา เมื่อผู้ใช้งานทั่วไปค้นหาซอฟต์แวร์ต่าง ๆ จะหลงเข้าไปดาวน์โหลดซอฟต์แวร์ที่ถูกฝังมัลแวร์ไว้ ซึ่งการโจมตีดังกล่าว ทำให้มีเหยื่อเพิ่มจำนวนมากขึ้น เมื่อเทียบกับการใช้การโจมตีแบบฟิชชิ่งทั่วไป ซึ่งการโจมตีครั้งนี้ส่งผลกระทบต่อองค์กรในภาคการศึกษาระดับสูงและภาคการขนส่งของสหรัฐฯ เป็นหลัก รวมถึงองค์กรที่ตั้งอยู่ในประเทศอิตาลีด้วย เนื่องจากมัลแวร์นี้ถูกปลอมแปลงเป็นซอฟต์แวร์ VPN ที่เชื่อถือได้ ทำให้สามารถหลีกเลี่ยงการตรวจจับจากระบบป้องกันต่างๆ ในองค์กรได้ง่ายขึ้น    

แม้ว่า SEO poisoning attacks จะไม่ใช่เทคนิคใหม่ แต่มันยังคงเป็นวิธีที่มีประสิทธิภาพสำหรับแฮกเกอร์ในการส่งมัลแวร์ไปยังเครื่องของเหยื่อผ่านการปลอมแปลงซอฟต์แวร์ที่ดูเหมือนเชื่อถือได้ นักวิจัยจาก Unit 42 เตือนว่าองค์กรที่พึ่งพารายชื่ออนุญาตตามชื่อไฟล์ควรเพิ่มความระมัดระวังในการตรวจสอบซอฟต์แวร์ที่ทำการดาวน์โหลดมาจากอินเทอร์เน็ตด้วย

แหล่งข่าว https://www.darkreading.com/threat-intelligence/cyberattackers-spoof-palo-alto-vpns-to-spread-wikiloader-variant