研究人员在今年6月看到相关攻击行动,并指出骇客的主要攻击目标是美国高等教育机构及交通单位,但研究人员特别提到,由于这次攻击者利用搜寻引擎最佳化中毒的手法,使得影响范围较过往利用网路钓鱼来得广泛。
一旦使用者搜寻GlobalProtect而上当,点选恶意广告,就会被带往架设于云端Git储存库的冒牌网站,并从Bitbucket下载打包成ZIP档的「安装程式」。
而这个档案解压缩后,使用者很可能只看到执行档GlobalProtect64.exe,但研究人员指出,实际上ZIP档里含有超过400个档案,大部分都设为隐藏。若是使用者执行上述执行档,骇客就会使用DLL侧载手法载入第1个WikiLoader元件。
接著,该DLL元件载入其他模组,并解开Shell Code,注入Windows档案总管的处理程序。
而被注入的程式码将C2伺服器进行通讯,骇客利用遭骇的WordPress网站充当C2,并使用物联网装置常见的通讯协定MQTT连线。
之后,这些被注入的程式码又被载入Sysinternals公用程式元件,然后从C2伺服下载WikiLoader后门程式,并透过侧载的方式执行。但究竟后续骇客借由WikiLoader在受害电脑植入那些恶意软体,研究人员表示不清楚。
研究人员提及,攻击者运用使用者习以为常的错误讯息,防止察觉异状。例如,前述安装程式并不会真的部署GlobalProtect,而骇客在完成恶意程式载入后,会显示特定程式库遗失而无法完成安装的错误讯息,借此避免使用者起疑。