Hackers estão utilizando uma versão falsificada do software de VPN GlobalProtect, da Palo Alto Networks, para disseminar uma nova variante do malware WikiLoader. A campanha de malware, detectada em junho de 2024, adota uma estratégia de otimização de mecanismos de busca (SEO) para atrair vítimas, marcando uma mudança em relação às táticas anteriores, que se concentravam principalmente no uso de e-mails de phishing. Segundo pesquisadores da Unit 42, da Palo Alto Networks, os cibercriminosos estão direcionando usuários que buscam por versões legítimas da VPN GlobalProtect para sites falsificados.

Esse malware tem sido usado para distribuir outras ameaças, como os trojans bancários Danabot e Ursnif, em ataques via e-mail. No entanto, a mudança para SEO poisoning, em vez de phishing, indica uma evolução nas táticas de distribuição, dificultando a detecção pelas ferramentas de segurança. Os criminosos estão criando páginas clonadas que simulam ser o site oficial do GlobalProtect.

Quando usuários clicam em anúncios do Google relacionados ao software, são redirecionados para páginas de download falsas, que iniciam o processo de infecção. O instalador, identificado como “GlobalProtect64.exe”, na verdade contém um aplicativo legítimo de negociação de ações da TD Ameritrade, renomeado para carregar uma DLL maliciosa chamada “i4jinst.dll”, usada para baixar e executar o WikiLoader a partir de um servidor remoto.

A Palo Alto Networks alertou os usuários sobre a necessidade de cautela ao buscar downloads de softwares críticos, como VPNs, e recomendou sempre verificar a autenticidade dos sites e fontes antes de baixar qualquer aplicativo.