بدافزار GHOSTPULSE

یک کمپین حمله سایبری مخفی شناسایی شده است که شامل استفاده از فایل های بسته برنامه جعلی MSIX Windows برای نرم افزارهای معروف مانند Google Chrome، Microsoft Edge، Brave، Grammarly و Cisco Webex است. این فایل‌های ناامن برای انتشار نوع جدیدی از بارگذار بدافزار به نام GHOSTPULSE استفاده می‌شوند.

MSIX یک فرمت بسته برنامه کاربردی ویندوز است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب نرم افزار خود بر روی سیستم های ویندوز استفاده کنند. با این حال، توجه به این نکته مهم است که ایجاد و استفاده از فایل‌های MSIX مستلزم دسترسی به گواهی‌های امضای کد به‌طور قانونی یا غیرقانونی به‌دست‌آمده است، و این روش را به‌ویژه برای گروه‌های هکری با بودجه و منابع خوب جذاب می‌کند.

مهاجمان از تاکتیک‌های مختلف فریب برای ارائه بدافزار GHOSTPULSE استفاده می‌کنند

بر اساس نصب کننده های طعمه استفاده شده در این طرح، گمان می رود قربانیان احتمالی با استفاده از تکنیک های شناخته شده، از جمله وب سایت های در معرض خطر، مسمومیت بهینه سازی موتور جستجو (SEO) یا تبلیغات تقلبی (بد تبلیغاتی) گمراه شوند تا بسته های MSIX را دانلود کنند.

هنگامی که فایل MSIX اجرا می‌شود، یک پیام ویندوز ظاهر می‌شود که از کاربران می‌خواهد روی دکمه «نصب» کلیک کنند. پس از انجام این کار، GHOSTPULSE بی سر و صدا از طریق یک اسکریپت PowerShell از یک سرور راه دور (به طور خاص، 'manojsinghnegi[.]com') به میزبان در معرض خطر دانلود می شود.

این فرآیند در چندین مرحله آشکار می‌شود و بار اولیه یک فایل بایگانی TAR است. این آرشیو حاوی یک فایل اجرایی است که به عنوان سرویس Oracle VM VirtualBox (VBoxSVC.exe) ظاهر می شود، اما در واقعیت، این یک باینری قانونی همراه با Notepad++ (gup.exe) است.

علاوه بر این، در بایگانی TAR، یک فایل به نام handoff.wav و یک نسخه تروجان شده libcurl.dll وجود دارد. این libcurl.dll تغییریافته بارگذاری می‌شود تا با بهره‌برداری از یک آسیب‌پذیری در gup.exe از طریق بارگذاری جانبی DLL، فرآیند آلودگی را به مرحله بعدی برساند.

تکنیک های متعدد و مضر در زنجیره عفونت بدافزار GHOSTPULSE

اسکریپت PowerShell اجرای VBoxSVC.exe باینری را آغاز می کند، که به نوبه خود با بارگذاری DLL libcurl.dll خراب از دایرکتوری فعلی، در بارگذاری جانبی DLL شرکت می کند. این روش به عامل تهدید اجازه می دهد تا حضور کدهای مخرب رمزگذاری شده روی دیسک را به حداقل برساند و آنها را قادر می سازد تا با آنتی ویروس مبتنی بر فایل و اسکن یادگیری ماشینی از شناسایی فرار کنند.

پس از این، فایل DLL دستکاری شده با تجزیه و تحلیل handoff.wav پیش می رود. در این فایل صوتی، یک بار رمزگذاری شده پنهان شده است که متعاقباً از طریق mshtml.dll رمزگشایی و اجرا می شود. این تکنیک که به عنوان ضربات ماژول شناخته می شود، برای راه اندازی GHOSTPULSE در نهایت استفاده می شود.

GHOSTPULSE به عنوان یک بارگذار عمل می کند و از تکنیک دیگری به نام فرآیند doppelgänging برای شروع اجرای مجموعه نهایی بدافزار استفاده می کند که شامل SectopRAT ، Rhadamanthys ، Vidar، Lumma و NetSupport RAT است.

عواقب برای قربانیان حملات بدافزار ممکن است شدید باشد

عفونت تروجان دسترسی از راه دور (RAT) عواقب ناگواری را برای دستگاه های کاربران به همراه دارد و آن را به یکی از خطرناک ترین انواع بدافزار تبدیل می کند. اولا، یک RAT دسترسی و کنترل غیرمجاز را به عوامل مخرب اعطا می کند و به آنها اجازه می دهد تا به طور مخفیانه اطلاعات حساس را از دستگاه آلوده مشاهده، دستکاری و سرقت کنند. این شامل دسترسی به فایل‌های شخصی، اعتبارنامه‌های ورود به سیستم، داده‌های مالی و حتی امکان نظارت و ضبط ضربه‌های کلید است که آن را به ابزاری قدرتمند برای سرقت هویت و جاسوسی تبدیل می‌کند. این فعالیت‌ها می‌توانند منجر به خسارات مالی، نقض حریم خصوصی و به خطر افتادن داده‌های شخصی و حرفه‌ای شوند.

علاوه بر این، عفونت های RAT می تواند اثرات مخربی بر حریم خصوصی و امنیت کاربر داشته باشد. بازیگران مرتبط با کلاهبرداری می‌توانند از RAT برای روشن کردن وب‌کم‌ها و میکروفون‌ها استفاده کنند و در واقع از قربانیان در خانه‌های خود جاسوسی کنند. این نفوذ به فضاهای شخصی نه تنها حریم خصوصی را نقض می کند، بلکه می تواند منجر به باج گیری یا توزیع محتوای در معرض خطر نیز شود. علاوه بر این، RAT ها می توانند برای تبدیل دستگاه های آلوده به بخشی از یک بات نت مورد استفاده قرار گیرند که می تواند حملات سایبری در مقیاس بزرگ را انجام دهد، بدافزارها را در سیستم های دیگر توزیع کند یا از طرف مهاجم فعالیت های مجرمانه انجام دهد. در نهایت، عفونت های RAT اعتماد به محیط دیجیتال را تضعیف می کند، ایمنی شخصی را از بین می برد و می تواند عواقب طولانی مدت و شدیدی برای افراد، مشاغل و حتی کشورها داشته باشد.