GHOSTPULSE pahavara
Tuvastati vargsi küberründekampaania, mis hõlmab võltsitud MSIX Windowsi rakenduspakettide failide kasutamist tuntud tarkvara jaoks, nagu Google Chrome, Microsoft Edge, Brave, Grammarly ja Cisco Webex. Neid ebaturvalisi faile kasutatakse uut tüüpi pahavaralaadija GHOSTPULSE levitamiseks.
MSIX on Windowsi rakenduste paketivorming, mida arendajad saavad kasutada oma tarkvara Windowsi süsteemidesse pakendamiseks, levitamiseks ja installimiseks. Siiski on oluline märkida, et MSIX-failide loomine ja kasutamine eeldab juurdepääsu seaduslikult või ebaseaduslikult omandatud koodi allkirjastamise sertifikaatidele, mis muudab selle meetodi eriti meeldivaks hästi rahastatud ja leidlikele häkkerirühmadele.
Sisukord
Ründajad kasutavad GHOSTPULSE’i pahavara edastamiseks erinevaid peibutustaktikaid
Selles skeemis kasutatud peibutussööda paigaldajate põhjal kahtlustatakse, et potentsiaalseid ohvreid eksitatakse MSIX-i pakettide allalaadimisel tuntud tehnikate abil, sealhulgas ohustatud veebisaidid, otsingumootori optimeerimise (SEO) mürgistus või petturlik reklaam (malvertising).
Kui MSIX-fail käivitatakse, kuvatakse Windowsi viip, mis kutsub kasutajaid üles klõpsama nuppu "Install". Seda tehes laaditakse GHOSTPULSE PowerShelli skripti kaudu vaikselt alla ohustatud hosti kaugserverist (täpsemalt 'manojsinghnegi[.]com').
See protsess toimub mitmes etapis, kusjuures esialgne kasulik koormus on TAR-i arhiivifail. See arhiiv sisaldab käivitatavat faili, mis kujutab endast Oracle VM VirtualBoxi teenust (VBoxSVC.exe), kuid tegelikult on see seaduslik binaarfail, mis on komplektis Notepad++ (gup.exe).
Lisaks on TAR-i arhiivis fail nimega handoff.wav ja faili libcurl.dll troojastatud versioon. See muudetud libcurl.dll laaditakse, et viia nakatumisprotsess järgmisse etappi, kasutades DLL-i külglaadimise kaudu faili gup.exe haavatavust.
GHOSTPULSE pahavara nakatumise ahelas osalevad mitmed kahjulikud tehnikad
PowerShelli skript käivitab binaarfaili VBoxSVC.exe täitmise, mis omakorda käivitab DLL-i külglaadimise, laadides praegusest kataloogist rikutud DLL-i libcurl.dll. See meetod võimaldab ohutegijal minimeerida krüptitud pahatahtliku koodi olemasolu kettal, võimaldades neil vältida tuvastamist failipõhise viirusetõrje ja masinõppe skannimisega.
Pärast seda jätkab manipuleeritud DLL-fail faili handoff.wav analüüsi. Selles helifailis on peidetud krüpteeritud kasulik koormus, mis seejärel dekodeeritakse ja käivitatakse faili mshtml.dll kaudu. Seda tehnikat, mida nimetatakse mooduli stompinguks, kasutatakse lõpuks GHOSTPULSE'i käivitamiseks.
GHOSTPULSE toimib laadijana ja kasutab teist meetodit, mida nimetatakse protsessidevaheliseks toiminguks, et käivitada pahavara lõplik komplekt, mille hulka kuuluvad SectopRAT , Rhadamanthys , Vidar, Lumma ja NetSupport RAT .
Tagajärjed pahavararünnakute ohvritele võivad olla tõsised
Kaugjuurdepääsu Trooja (RAT) nakkus põhjustab kasutajate seadmetele mitmeid kohutavaid tagajärgi, muutes selle üheks kõige ohtlikumaks pahavara tüübiks. Esiteks annab RAT pahatahtlikele osalejatele volitamata juurdepääsu ja kontrolli, võimaldades neil nakatunud seadmest tundlikku teavet varjatult jälgida, sellega manipuleerida ja varastada. See hõlmab juurdepääsu isiklikele failidele, sisselogimismandaatidele, finantsandmetele ja isegi klahvivajutuste jälgimise ja salvestamise võimalust, muutes selle tõhusaks identiteedivarguse ja spionaaži tööriistaks. Need tegevused võivad kaasa tuua rahalisi kaotusi, privaatsuse rikkumisi ning isiku- ja ametiandmete ohtu.
Lisaks võivad RAT-nakkused avaldada laastavat mõju kasutaja privaatsusele ja turvalisusele. Pettusega seotud osalejad saavad kasutada RAT-e veebikaamerate ja mikrofonide sisselülitamiseks, luurates tõhusalt oma kodudes ohvreid. See isiklikesse ruumidesse tungimine mitte ainult ei riku privaatsust, vaid võib põhjustada ka väljapressimist või kompromiteeriva sisu levitamist. Lisaks saab RAT-e kasutada nakatunud seadmete botneti osaks muutmiseks, mis võib käivitada ulatuslikke küberrünnakuid, levitada pahavara teistele süsteemidele või sooritada ründaja nimel kuritegelikku tegevust. Lõppkokkuvõttes õõnestavad RAT-nakkused usaldust digitaalse keskkonna vastu, vähendavad isiklikku turvalisust ning võivad avaldada pikaajalisi ja raskeid tagajärgi üksikisikutele, ettevõtetele ja isegi riikidele.
