GHOSTPULSE Malware
En snigende cyberangrebskampagne er blevet opdaget, der involverer brugen af falske MSIX Windows-applikationspakkefiler til velkendt software som Google Chrome, Microsoft Edge, Brave, Grammarly og Cisco Webex. Disse usikre filer bliver brugt til at sprede en ny type malware-indlæser kaldet GHOSTPULSE.
MSIX er et Windows-applikationspakkeformat, som udviklere kan bruge til at pakke, distribuere og installere deres software på Windows-systemer. Det er dog vigtigt at bemærke, at oprettelse og brug af MSIX-filer kræver adgang til lovligt opnåede eller ulovligt erhvervede kodesigneringscertifikater, hvilket gør denne metode særligt tiltalende for velfinansierede og ressourcestærke hackergrupper.
Indholdsfortegnelse
Angribere bruger forskellige lokketaktikker til at levere GHOSTPULSE-malwaren
Baseret på lokkemadsinstallatørerne, der bruges i denne ordning, er det mistænkt, at potentielle ofre vildledes til at downloade MSIX-pakkerne ved hjælp af velkendte teknikker, herunder kompromitterede websteder, søgemaskineoptimering (SEO)-forgiftning eller svigagtig reklame (malvertising).
Når MSIX-filen udføres, vises en Windows-prompt, der opfordrer brugerne til at klikke på knappen 'Installer'. Når du gør det, downloades GHOSTPULSE lydløst til den kompromitterede vært fra en fjernserver (specifikt 'manojsinghnegi[.]com') via et PowerShell-script.
Denne proces udfolder sig på tværs af flere faser, hvor den indledende nyttelast er en TAR-arkivfil. Dette arkiv indeholder en eksekverbar fil, der udgør Oracle VM VirtualBox-tjenesten (VBoxSVC.exe), men i virkeligheden er det en legitim binær bundtet med Notepad++ (gup.exe).
Derudover er der i TAR-arkivet en fil med navnet handoff.wav og en trojaniseret version af libcurl.dll. Denne ændrede libcurl.dll indlæses for at fortsætte infektionsprocessen til næste trin ved at udnytte en sårbarhed i gup.exe gennem DLL-sideindlæsning.
De mange skadelige teknikker involveret i GHOSTPULSE Malware-infektionskæden
PowerShell-scriptet initierer udførelsen af den binære VBoxSVC.exe, som igen engagerer sig i DLL-sideindlæsning ved at indlæse den beskadigede DLL libcurl.dll fra den aktuelle mappe. Denne metode gør det muligt for trusselsaktøren at minimere tilstedeværelsen af krypteret ondsindet kode på disken, hvilket gør dem i stand til at undgå registrering ved filbaseret antivirus- og maskinlæringsscanning.
Efter dette fortsætter den manipulerede DLL-fil ved at analysere handoff.wav. I denne lydfil er en krypteret nyttelast skjult, som efterfølgende afkodes og udføres gennem mshtml.dll. Denne teknik, kendt som modul stomping, bruges til at starte GHOSTPULSE i sidste ende.
GHOSTPULSE fungerer som en loader og anvender en anden teknik kaldet procesdoppelgänging til at starte udførelsen af det endelige sæt malware, som inkluderer SectopRAT , Rhadamanthys , Vidar, Lumma og NetSupport RAT .
Konsekvenserne for ofre for malwareangreb kan være alvorlige
En Remote Access Trojan (RAT)-infektion har flere alvorlige konsekvenser for brugernes enheder, hvilket gør det til en af de farligste typer malware. For det første giver en RAT uautoriseret adgang og kontrol til ondsindede aktører, hvilket giver dem mulighed for i det skjulte at observere, manipulere og stjæle følsomme oplysninger fra den inficerede enhed. Dette inkluderer adgang til personlige filer, login-legitimationsoplysninger, økonomiske data og endda muligheden for at overvåge og registrere tastetryk, hvilket gør det til et potent værktøj til identitetstyveri og spionage. Disse aktiviteter kan føre til økonomiske tab, brud på privatlivets fred og kompromittering af personlige og professionelle data.
Ydermere kan RAT-infektioner have ødelæggende indvirkning på brugernes privatliv og sikkerhed. Svindel-relaterede aktører kan bruge RAT'er til at tænde for webcams og mikrofoner og effektivt spionere på ofre i deres eget hjem. Denne indtrængen i personlige rum krænker ikke kun privatlivets fred, men kan også føre til afpresning eller distribution af kompromitterende indhold. Derudover kan RAT'er bruges til at omdanne inficerede enheder til en del af et botnet, som kan iværksætte storstilede cyberangreb, distribuere malware til andre systemer eller udføre kriminelle aktiviteter på vegne af angriberen. I sidste ende underminerer RAT-infektioner tilliden til det digitale miljø, udhuler den personlige sikkerhed og kan have langvarige, alvorlige konsekvenser for enkeltpersoner, virksomheder og endda nationer.
