بدافزار GHOSTPULSE
یک کمپین حمله سایبری مخفی شناسایی شده است که شامل استفاده از فایل های بسته برنامه جعلی MSIX Windows برای نرم افزارهای معروف مانند Google Chrome، Microsoft Edge، Brave، Grammarly و Cisco Webex است. این فایلهای ناامن برای انتشار نوع جدیدی از بارگذار بدافزار به نام GHOSTPULSE استفاده میشوند.
MSIX یک فرمت بسته برنامه کاربردی ویندوز است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب نرم افزار خود بر روی سیستم های ویندوز استفاده کنند. با این حال، توجه به این نکته مهم است که ایجاد و استفاده از فایلهای MSIX مستلزم دسترسی به گواهیهای امضای کد بهطور قانونی یا غیرقانونی بهدستآمده است، و این روش را بهویژه برای گروههای هکری با بودجه و منابع خوب جذاب میکند.
فهرست مطالب
مهاجمان از تاکتیکهای مختلف فریب برای ارائه بدافزار GHOSTPULSE استفاده میکنند
بر اساس نصب کننده های طعمه استفاده شده در این طرح، گمان می رود قربانیان احتمالی با استفاده از تکنیک های شناخته شده، از جمله وب سایت های در معرض خطر، مسمومیت بهینه سازی موتور جستجو (SEO) یا تبلیغات تقلبی (بد تبلیغاتی) گمراه شوند تا بسته های MSIX را دانلود کنند.
هنگامی که فایل MSIX اجرا میشود، یک پیام ویندوز ظاهر میشود که از کاربران میخواهد روی دکمه «نصب» کلیک کنند. پس از انجام این کار، GHOSTPULSE بی سر و صدا از طریق یک اسکریپت PowerShell از یک سرور راه دور (به طور خاص، 'manojsinghnegi[.]com') به میزبان در معرض خطر دانلود می شود.
این فرآیند در چندین مرحله آشکار میشود و بار اولیه یک فایل بایگانی TAR است. این آرشیو حاوی یک فایل اجرایی است که به عنوان سرویس Oracle VM VirtualBox (VBoxSVC.exe) ظاهر می شود، اما در واقعیت، این یک باینری قانونی همراه با Notepad++ (gup.exe) است.
علاوه بر این، در بایگانی TAR، یک فایل به نام handoff.wav و یک نسخه تروجان شده libcurl.dll وجود دارد. این libcurl.dll تغییریافته بارگذاری میشود تا با بهرهبرداری از یک آسیبپذیری در gup.exe از طریق بارگذاری جانبی DLL، فرآیند آلودگی را به مرحله بعدی برساند.
تکنیک های متعدد و مضر در زنجیره عفونت بدافزار GHOSTPULSE
اسکریپت PowerShell اجرای VBoxSVC.exe باینری را آغاز می کند، که به نوبه خود با بارگذاری DLL libcurl.dll خراب از دایرکتوری فعلی، در بارگذاری جانبی DLL شرکت می کند. این روش به عامل تهدید اجازه می دهد تا حضور کدهای مخرب رمزگذاری شده روی دیسک را به حداقل برساند و آنها را قادر می سازد تا با آنتی ویروس مبتنی بر فایل و اسکن یادگیری ماشینی از شناسایی فرار کنند.
پس از این، فایل DLL دستکاری شده با تجزیه و تحلیل handoff.wav پیش می رود. در این فایل صوتی، یک بار رمزگذاری شده پنهان شده است که متعاقباً از طریق mshtml.dll رمزگشایی و اجرا می شود. این تکنیک که به عنوان ضربات ماژول شناخته می شود، برای راه اندازی GHOSTPULSE در نهایت استفاده می شود.
GHOSTPULSE به عنوان یک بارگذار عمل می کند و از تکنیک دیگری به نام فرآیند doppelgänging برای شروع اجرای مجموعه نهایی بدافزار استفاده می کند که شامل SectopRAT ، Rhadamanthys ، Vidar، Lumma و NetSupport RAT است.
عواقب برای قربانیان حملات بدافزار ممکن است شدید باشد
عفونت تروجان دسترسی از راه دور (RAT) عواقب ناگواری را برای دستگاه های کاربران به همراه دارد و آن را به یکی از خطرناک ترین انواع بدافزار تبدیل می کند. اولا، یک RAT دسترسی و کنترل غیرمجاز را به عوامل مخرب اعطا می کند و به آنها اجازه می دهد تا به طور مخفیانه اطلاعات حساس را از دستگاه آلوده مشاهده، دستکاری و سرقت کنند. این شامل دسترسی به فایلهای شخصی، اعتبارنامههای ورود به سیستم، دادههای مالی و حتی امکان نظارت و ضبط ضربههای کلید است که آن را به ابزاری قدرتمند برای سرقت هویت و جاسوسی تبدیل میکند. این فعالیتها میتوانند منجر به خسارات مالی، نقض حریم خصوصی و به خطر افتادن دادههای شخصی و حرفهای شوند.
علاوه بر این، عفونت های RAT می تواند اثرات مخربی بر حریم خصوصی و امنیت کاربر داشته باشد. بازیگران مرتبط با کلاهبرداری میتوانند از RAT برای روشن کردن وبکمها و میکروفونها استفاده کنند و در واقع از قربانیان در خانههای خود جاسوسی کنند. این نفوذ به فضاهای شخصی نه تنها حریم خصوصی را نقض می کند، بلکه می تواند منجر به باج گیری یا توزیع محتوای در معرض خطر نیز شود. علاوه بر این، RAT ها می توانند برای تبدیل دستگاه های آلوده به بخشی از یک بات نت مورد استفاده قرار گیرند که می تواند حملات سایبری در مقیاس بزرگ را انجام دهد، بدافزارها را در سیستم های دیگر توزیع کند یا از طرف مهاجم فعالیت های مجرمانه انجام دهد. در نهایت، عفونت های RAT اعتماد به محیط دیجیتال را تضعیف می کند، ایمنی شخصی را از بین می برد و می تواند عواقب طولانی مدت و شدیدی برای افراد، مشاغل و حتی کشورها داشته باشد.