البرامج الضارة GOSTPULSE

تم اكتشاف حملة هجوم إلكتروني خفية تتضمن استخدام ملفات حزمة تطبيقات MSIX Windows المزيفة لبرامج معروفة مثل Google Chrome وMicrosoft Edge وBrave وGrammarly وCisco Webex. يتم استخدام هذه الملفات غير الآمنة لنشر نوع جديد من محمل البرامج الضارة يسمى GHOSTPULSE.

MSIX هو تنسيق حزمة تطبيقات Windows الذي يمكن للمطورين استخدامه لحزم برامجهم وتوزيعها وتثبيتها على أنظمة Windows. ومع ذلك، من المهم ملاحظة أن إنشاء ملفات MSIX واستخدامها يتطلب الوصول إلى شهادات توقيع التعليمات البرمجية التي تم الحصول عليها بطريقة مشروعة أو بطريقة غير مشروعة، مما يجعل هذه الطريقة جذابة بشكل خاص لمجموعات المتسللين الممولة جيدًا وواسعة الحيلة.

يستخدم المهاجمون تكتيكات إغراء مختلفة لتوصيل البرنامج الضار GHOSTPULSE

استنادًا إلى أدوات تثبيت الطعم المستخدمة في هذا المخطط، يُشتبه في أنه يتم تضليل الضحايا المحتملين لتنزيل حزم MSIX باستخدام تقنيات معروفة، بما في ذلك مواقع الويب المخترقة أو إفساد تحسين محركات البحث (SEO) أو الإعلانات الاحتيالية (الإعلانات الضارة).

عند تنفيذ ملف MSIX، تظهر مطالبة Windows تحث المستخدمين على النقر فوق الزر "تثبيت". عند القيام بذلك، يتم تنزيل GHOSTPULSE بصمت إلى المضيف المخترق من خادم بعيد (على وجه التحديد، 'manojsinghnegi[.]com') عبر برنامج PowerShell النصي.

تتكشف هذه العملية عبر مراحل متعددة، حيث تكون الحمولة الأولية عبارة عن ملف أرشيف TAR. يحتوي هذا الأرشيف على ملف قابل للتنفيذ يمثل خدمة Oracle VM VirtualBox (VBoxSVC.exe)، ولكنه في الواقع ملف ثنائي شرعي مُجمَّع مع Notepad++ (gup.exe).

بالإضافة إلى ذلك، يوجد داخل أرشيف TAR ملف باسم handoff.wav وإصدار طروادة من libcurl.dll. يتم تحميل libcurl.dll الذي تم تعديله لتقدم عملية الإصابة إلى المرحلة التالية عن طريق استغلال ثغرة أمنية في gup.exe من خلال التحميل الجانبي لـ DLL.

التقنيات المتعددة والضارة المستخدمة في سلسلة الإصابة بالبرامج الضارة GHOSTPULSE

يبدأ البرنامج النصي PowerShell تنفيذ الملف الثنائي VBoxSVC.exe، والذي بدوره يشارك في التحميل الجانبي لـ DLL عن طريق تحميل ملف DLL libcurl.dll التالف من الدليل الحالي. تسمح هذه الطريقة لممثلي التهديد بتقليل وجود التعليمات البرمجية الضارة المشفرة على القرص، مما يمكنهم من تجنب الكشف عن طريق برامج مكافحة الفيروسات القائمة على الملفات وفحص التعلم الآلي.

بعد ذلك، يستمر ملف DLL الذي تم معالجته من خلال تحليل handoff.wav. داخل هذا الملف الصوتي، يتم إخفاء حمولة مشفرة، والتي يتم فك تشفيرها وتنفيذها لاحقًا من خلال mshtml.dll. تُستخدم هذه التقنية، المعروفة باسم الدوس على الوحدة النمطية، لإطلاق GHOSTPULSE في النهاية.

يعمل GHOSTPULSE كمحمل ويستخدم تقنية أخرى تسمى عملية doppelgänging لبدء تنفيذ المجموعة النهائية من البرامج الضارة، والتي تشمل SectopRAT و Rdhamanthys و Vidar و Lumma و NetSupport RAT .

قد تكون العواقب المترتبة على ضحايا هجمات البرامج الضارة وخيمة

تشكل عدوى حصان طروادة للوصول عن بعد (RAT) عدة عواقب وخيمة على أجهزة المستخدمين، مما يجعلها واحدة من أخطر أنواع البرامج الضارة. أولاً، يمنح RAT الوصول والتحكم غير المصرح به للجهات الفاعلة الخبيثة، مما يسمح لها بمراقبة المعلومات الحساسة والتلاعب بها وسرقة المعلومات الحساسة من الجهاز المصاب بشكل سري. يتضمن ذلك الوصول إلى الملفات الشخصية، وبيانات اعتماد تسجيل الدخول، والبيانات المالية، وحتى القدرة على مراقبة وتسجيل ضغطات المفاتيح، مما يجعلها أداة فعالة لسرقة الهوية والتجسس. يمكن أن تؤدي هذه الأنشطة إلى خسائر مالية وانتهاكات للخصوصية واختراق البيانات الشخصية والمهنية.

علاوة على ذلك، يمكن أن يكون لعدوى RAT تأثيرات مدمرة على خصوصية المستخدم وأمانه. يمكن للجهات الفاعلة المرتبطة بالاحتيال استخدام RATs لتشغيل كاميرات الويب والميكروفونات، والتجسس بشكل فعال على الضحايا في منازلهم. لا ينتهك هذا التطفل على المساحات الشخصية الخصوصية فحسب، بل يمكن أن يؤدي أيضًا إلى الابتزاز أو توزيع محتوى مسيء. بالإضافة إلى ذلك، يمكن استخدام RATs لتحويل الأجهزة المصابة إلى جزء من شبكة الروبوتات، والتي يمكنها شن هجمات إلكترونية واسعة النطاق، أو توزيع البرامج الضارة على أنظمة أخرى، أو تنفيذ أنشطة إجرامية نيابة عن المهاجم. في نهاية المطاف، تعمل عدوى RAT على تقويض الثقة في البيئة الرقمية، وتقويض السلامة الشخصية، ومن الممكن أن تؤدي إلى عواقب وخيمة طويلة الأمد على الأفراد والشركات، بل وحتى الدول.