GHOSTPULSE Зловреден софтуер
Беше открита кампания за скрита кибератака, включваща използването на фалшиви MSIX Windows пакетни файлове за добре познат софтуер като Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex. Тези опасни файлове се използват за разпространение на нов тип злонамерен софтуер за зареждане, наречен GHOSTPULSE.
MSIX е пакетен формат на Windows приложения, който разработчиците могат да използват, за да пакетират, разпространяват и инсталират своя софтуер на Windows системи. Въпреки това е важно да се отбележи, че създаването и използването на MSIX файлове изисква достъп до законно получени или незаконно придобити сертификати за подписване на код, което прави този метод особено привлекателен за добре финансирани и находчиви хакерски групи.
Съдържание
Нападателите използват различни тактики за примамване, за да доставят злонамерения софтуер GHOSTPULSE
Въз основа на инсталаторите на примамки, използвани в тази схема, се подозира, че потенциалните жертви са подведени да изтеглят пакетите MSIX, използвайки добре познати техники, включително компрометирани уебсайтове, отравяне с оптимизация за търсачки (SEO) или измамна реклама (злонамерена реклама).
Когато файлът MSIX се изпълни, се появява подкана на Windows, която призовава потребителите да щракнат върху бутона „Инсталиране“. След като направите това, GHOSTPULSE се изтегля безшумно на компрометирания хост от отдалечен сървър (по-специално „manojsinghnegi[.]com“) чрез скрипт на PowerShell.
Този процес се разгръща на няколко етапа, като първоначалният полезен товар е TAR архивен файл. Този архив съдържа изпълним файл, който се представя като услугата Oracle VM VirtualBox (VBoxSVC.exe), но в действителност това е легитимен двоичен файл, свързан с Notepad++ (gup.exe).
Освен това в TAR архива има файл с име handoff.wav и троянизирана версия на libcurl.dll. Този променен libcurl.dll се зарежда, за да премине процеса на заразяване към следващия етап чрез използване на уязвимост в gup.exe чрез странично зареждане на DLL.
Множеството вредни техники, включени във веригата за заразяване със злонамерен софтуер GHOSTPULSE
Скриптът PowerShell инициира изпълнението на двоичния VBoxSVC.exe, който от своя страна се включва в страничното зареждане на DLL чрез зареждане на повредената DLL libcurl.dll от текущата директория. Този метод позволява на заплахата да сведе до минимум присъствието на диска на криптиран злонамерен код, което му позволява да избегне откриването от базирана на файлове антивирусна програма и сканиране с машинно обучение.
След това манипулираният DLL файл продължава чрез анализиране на handoff.wav. В този аудио файл е скрит криптиран полезен товар, който впоследствие се декодира и изпълнява чрез mshtml.dll. Тази техника, известна като стъпкване на модули, се използва за окончателно стартиране на GHOSTPULSE.
GHOSTPULSE функционира като зареждащ механизъм и използва друга техника, наречена process doppelgänging, за да инициира изпълнението на последния набор от зловреден софтуер, който включва SectopRAT , Rhadamanthys , Vidar, Lumma и NetSupport RAT .
Последствията за жертвите на атаки със зловреден софтуер може да са тежки
Инфекцията с троянски кон за отдалечен достъп (RAT) създава няколко ужасни последици за устройствата на потребителите, което го прави един от най-опасните видове зловреден софтуер. Първо, RAT предоставя неоторизиран достъп и контрол на злонамерени участници, позволявайки им тайно да наблюдават, манипулират и крадат чувствителна информация от заразеното устройство. Това включва достъп до лични файлове, идентификационни данни за вход, финансови данни и дори възможност за наблюдение и записване на натискания на клавиши, което го прави мощен инструмент за кражба на самоличност и шпионаж. Тези дейности могат да доведат до финансови загуби, нарушения на поверителността и компрометиране на лични и професионални данни.
Освен това инфекциите с RAT могат да имат опустошителни въздействия върху поверителността и сигурността на потребителите. Актьори, свързани с измами, могат да използват RATs, за да включат уеб камери и микрофони, като ефективно шпионират жертвите в собствените им домове. Това навлизане в личните пространства не само нарушава неприкосновеността на личния живот, но също така може да доведе до изнудване или разпространение на компрометиращо съдържание. Освен това RAT могат да се използват за превръщане на заразени устройства в част от ботнет, който може да стартира широкомащабни кибератаки, да разпространява зловреден софтуер към други системи или да извършва престъпни дейности от името на нападателя. В крайна сметка инфекциите с RAT подкопават доверието в дигиталната среда, подкопават личната безопасност и могат да имат дълготрайни, тежки последици за отделните хора, бизнеса и дори нациите.
