Κακόβουλο λογισμικό GHOSTPULSE
Εντοπίστηκε μια κρυφή εκστρατεία κυβερνοεπιθέσεων, η οποία περιλαμβάνει τη χρήση πλαστών αρχείων πακέτων εφαρμογών MSIX Windows για γνωστά λογισμικά όπως το Google Chrome, το Microsoft Edge, το Brave, το Grammarly και το Cisco Webex. Αυτά τα μη ασφαλή αρχεία χρησιμοποιούνται για τη διάδοση ενός νέου τύπου προγράμματος φόρτωσης κακόβουλου λογισμικού που ονομάζεται GHOSTPULSE.
Το MSIX είναι μια μορφή πακέτου εφαρμογών των Windows που μπορούν να χρησιμοποιήσουν οι προγραμματιστές για να συσκευάσουν, να διανείμουν και να εγκαταστήσουν το λογισμικό τους σε συστήματα Windows. Ωστόσο, είναι σημαντικό να σημειωθεί ότι η δημιουργία και η χρήση αρχείων MSIX απαιτεί πρόσβαση σε νόμιμα ή παράνομα αποκτηθέντα πιστοποιητικά υπογραφής κώδικα, καθιστώντας αυτή τη μέθοδο ιδιαίτερα ελκυστική για τις καλά χρηματοδοτούμενες και πολυμήχανες ομάδες χάκερ.
Πίνακας περιεχομένων
Οι επιτιθέμενοι χρησιμοποιούν διάφορες τακτικές δέλεαρ για να παραδώσουν το κακόβουλο λογισμικό GHOSTPULSE
Με βάση τα προγράμματα εγκατάστασης δολωμάτων που χρησιμοποιούνται σε αυτό το σύστημα, υπάρχει η υποψία ότι τα πιθανά θύματα παραπλανούνται για να κατεβάσουν τα πακέτα MSIX χρησιμοποιώντας γνωστές τεχνικές, όπως παραβιασμένους ιστότοπους, δηλητηρίαση από τη βελτιστοποίηση μηχανών αναζήτησης (SEO) ή δόλια διαφήμιση (κακόφημη διαφήμιση).
Όταν εκτελείται το αρχείο MSIX, εμφανίζεται μια προτροπή των Windows, που προτρέπει τους χρήστες να κάνουν κλικ στο κουμπί «Εγκατάσταση». Με αυτόν τον τρόπο, το GHOSTPULSE κατεβάζεται σιωπηλά στον παραβιασμένο κεντρικό υπολογιστή από έναν απομακρυσμένο διακομιστή (συγκεκριμένα, 'manojsinghnegi[.]com') μέσω ενός σεναρίου PowerShell.
Αυτή η διαδικασία εκτυλίσσεται σε πολλά στάδια, με το αρχικό ωφέλιμο φορτίο να είναι ένα αρχείο αρχειοθέτησης TAR. Αυτό το αρχείο περιέχει ένα εκτελέσιμο αρχείο που παρουσιάζεται ως η υπηρεσία Oracle VM VirtualBox (VBoxSVC.exe), αλλά στην πραγματικότητα, είναι ένα νόμιμο δυαδικό πακέτο με το Notepad++ (gup.exe).
Επιπλέον, μέσα στο αρχείο TAR, υπάρχει ένα αρχείο με το όνομα handoff.wav και μια trojanized έκδοση του libcurl.dll. Αυτό το τροποποιημένο libcurl.dll φορτώνεται για να προχωρήσει η διαδικασία μόλυνσης στο επόμενο στάδιο, εκμεταλλευόμενος ένα θέμα ευπάθειας στο gup.exe μέσω πλευρικής φόρτωσης DLL.
Οι πολλαπλές, επιβλαβείς τεχνικές που εμπλέκονται στην αλυσίδα μόλυνσης από κακόβουλο λογισμικό GHOSTPULSE
Η δέσμη ενεργειών PowerShell ξεκινά την εκτέλεση του δυαδικού αρχείου VBoxSVC.exe, το οποίο, με τη σειρά του, εμπλέκεται σε πλευρική φόρτωση DLL φορτώνοντας το κατεστραμμένο DLL libcurl.dll από τον τρέχοντα κατάλογο. Αυτή η μέθοδος επιτρέπει στον παράγοντα απειλής να ελαχιστοποιήσει την παρουσία κρυπτογραφημένου κακόβουλου κώδικα στον δίσκο, επιτρέποντάς του να αποφύγει τον εντοπισμό με σάρωση προστασίας από ιούς που βασίζεται σε αρχεία και μηχανική εκμάθηση.
Μετά από αυτό, το αρχείο DLL που έχει υποστεί επεξεργασία προχωρά αναλύοντας το handoff.wav. Μέσα σε αυτό το αρχείο ήχου, κρύβεται ένα κρυπτογραφημένο ωφέλιμο φορτίο, το οποίο στη συνέχεια αποκωδικοποιείται και εκτελείται μέσω του mshtml.dll. Αυτή η τεχνική, γνωστή ως πάτημα ενοτήτων, χρησιμοποιείται για την εκκίνηση του GHOSTPULSE τελικά.
Το GHOSTPULSE λειτουργεί ως φορτωτής και χρησιμοποιεί μια άλλη τεχνική που ονομάζεται διαδικασία doppelgänging για να ξεκινήσει την εκτέλεση του τελικού συνόλου κακόβουλου λογισμικού, το οποίο περιλαμβάνει το SectopRAT , το Rhadamanthys , το Vidar, το Lumma και το NetSupport RAT .
Οι συνέπειες για τα θύματα επιθέσεων κακόβουλου λογισμικού μπορεί να είναι σοβαρές
Μια μόλυνση με Trojan Remote Access (RAT) έχει πολλές τρομερές συνέπειες στις συσκευές των χρηστών, καθιστώντας το έναν από τους πιο επικίνδυνους τύπους κακόβουλου λογισμικού. Πρώτον, ένας RAT παρέχει μη εξουσιοδοτημένη πρόσβαση και έλεγχο σε κακόβουλους παράγοντες, επιτρέποντάς τους να παρατηρούν κρυφά, να χειραγωγούν και να κλέβουν ευαίσθητες πληροφορίες από τη μολυσμένη συσκευή. Αυτό περιλαμβάνει πρόσβαση σε προσωπικά αρχεία, διαπιστευτήρια σύνδεσης, οικονομικά δεδομένα, ακόμη και τη δυνατότητα παρακολούθησης και καταγραφής πληκτρολογήσεων, καθιστώντας το ένα ισχυρό εργαλείο για κλοπή ταυτότητας και κατασκοπεία. Αυτές οι δραστηριότητες μπορεί να οδηγήσουν σε οικονομικές απώλειες, παραβιάσεις της ιδιωτικής ζωής και σε παραβίαση προσωπικών και επαγγελματικών δεδομένων.
Επιπλέον, οι μολύνσεις από RAT μπορεί να έχουν καταστροφικές επιπτώσεις στο απόρρητο και την ασφάλεια των χρηστών. Οι φορείς που σχετίζονται με απάτη μπορούν να χρησιμοποιήσουν RAT για να ενεργοποιήσουν κάμερες και μικρόφωνα, κατασκοπεύοντας ουσιαστικά τα θύματα στα σπίτια τους. Αυτή η εισβολή σε προσωπικούς χώρους όχι μόνο παραβιάζει το απόρρητο, αλλά μπορεί επίσης να οδηγήσει σε εκβιασμό ή διανομή παραβιαστικό περιεχόμενο. Επιπλέον, οι RAT μπορούν να χρησιμοποιηθούν για τη μετατροπή μολυσμένων συσκευών σε μέρος ενός botnet, το οποίο μπορεί να εξαπολύσει κυβερνοεπιθέσεις μεγάλης κλίμακας, να διανείμει κακόβουλο λογισμικό σε άλλα συστήματα ή να διεξάγει εγκληματικές δραστηριότητες για λογαριασμό του εισβολέα. Τελικά, οι λοιμώξεις από RAT υπονομεύουν την εμπιστοσύνη στο ψηφιακό περιβάλλον, διαβρώνουν την προσωπική ασφάλεια και μπορεί να έχουν μακροχρόνιες, σοβαρές συνέπειες για άτομα, επιχειρήσεις, ακόμη και έθνη.
