GHOSTPULSE-haittaohjelma
Hiljainen kyberhyökkäyskampanja on havaittu, ja siinä on käytetty väärennettyjä MSIX Windows -sovelluspakettitiedostoja tunnetuille ohjelmistoille, kuten Google Chrome, Microsoft Edge, Brave, Grammarly ja Cisco Webex. Näitä vaarallisia tiedostoja käytetään uudentyyppisen GHOSTPULSE-nimisen haittaohjelmien latausohjelman levittämiseen.
MSIX on Windows-sovelluspakettimuoto, jota kehittäjät voivat käyttää ohjelmistojensa pakkaamiseen, jakeluun ja asentamiseen Windows-järjestelmiin. On kuitenkin tärkeää huomata, että MSIX-tiedostojen luominen ja käyttäminen edellyttää laillisesti hankittujen tai laittomasti hankittujen koodin allekirjoitusvarmenteiden käyttöä, mikä tekee tästä menetelmästä erityisen houkuttelevan hyvin rahoitetuille ja kekseliäille hakkeriryhmille.
Sisällysluettelo
Hyökkääjät käyttävät erilaisia houkutustaktiikoita GHOSTPULSE-haittaohjelman toimittamiseen
Tässä järjestelmässä käytettyjen syöttien asentajien perusteella epäillään, että mahdollisia uhreja johdetaan harhaan lataamaan MSIX-paketteja tunnetuilla tekniikoilla, mukaan lukien vaarantuneet verkkosivustot, hakukoneoptimoinnin (SEO) myrkytys tai vilpillinen mainonta (haittatoiminta).
Kun MSIX-tiedosto suoritetaan, näyttöön tulee Windows-kehote, joka kehottaa käyttäjiä napsauttamaan "Asenna"-painiketta. Kun näin tehdään, GHOSTPULSE ladataan hiljaa vaarantuneeseen isäntään etäpalvelimelta (erityisesti 'manojsinghnegi[.]com') PowerShell-komentosarjan kautta.
Tämä prosessi etenee useissa vaiheissa, ja alkuperäinen hyötykuorma on TAR-arkistotiedosto. Tämä arkisto sisältää suoritettavan tiedoston, joka esiintyy Oracle VM VirtualBox -palveluna (VBoxSVC.exe), mutta todellisuudessa se on aito binaari, joka on yhdistetty Notepad++:aan (gup.exe).
Lisäksi TAR-arkistossa on tiedosto nimeltä handoff.wav ja troijalainen versio tiedostosta libcurl.dll. Tämä muutettu libcurl.dll ladataan infektioprosessin siirtämiseksi seuraavaan vaiheeseen hyödyntämällä gup.exe-tiedoston haavoittuvuutta DLL-sivulatauksen kautta.
GHOSTPULSE-haittaohjelmien tartuntaketjuun liittyvät useat haitalliset tekniikat
PowerShell-komentosarja käynnistää binaarisen VBoxSVC.exe-tiedoston suorittamisen, joka puolestaan suorittaa DLL-sivulatauksen lataamalla vioittun DLL-tiedoston libcurl.dll nykyisestä hakemistosta. Tämän menetelmän avulla uhkatekijä voi minimoida salatun haitallisen koodin esiintymisen levyllä, jolloin he voivat välttää havaitsemisen tiedostopohjaisella virustorjunta- ja koneoppimisen tarkistuksella.
Tämän jälkeen käsitelty DLL-tiedosto etenee analysoimalla handoff.wav. Tämän äänitiedoston sisällä on salattu hyötykuorma, joka dekoodataan ja suoritetaan mshtml.dll:n kautta. Tätä tekniikkaa, joka tunnetaan nimellä moduulistoppaus, käytetään lopulta GHOSTPULSE:n käynnistämiseen.
GHOSTPULSE toimii latausohjelmana ja käyttää toista tekniikkaa, jota kutsutaan prosessin doppelgängingiksi. Se käynnistää viimeisten haittaohjelmien, joihin kuuluvat SectopRAT , Rhadamanthys , Vidar, Lumma ja NetSupport RAT , suorittamisen.
Seuraukset haittaohjelmahyökkäysten uhreille voivat olla vakavia
Remote Access Trojan (RAT) -tartunta aiheuttaa useita vakavia seurauksia käyttäjien laitteille, mikä tekee siitä yhden vaarallisimmista haittaohjelmista. Ensinnäkin RAT myöntää luvattoman pääsyn ja hallinnan haitallisille toimijoille, jolloin he voivat salaa tarkkailla, manipuloida ja varastaa arkaluonteisia tietoja tartunnan saaneesta laitteesta. Tämä sisältää pääsyn henkilökohtaisiin tiedostoihin, kirjautumistietoihin, taloustietoihin ja jopa mahdollisuuden seurata ja tallentaa näppäinpainalluksia, mikä tekee siitä tehokkaan työkalun identiteettivarkauksille ja vakoilulle. Nämä toimet voivat johtaa taloudellisiin menetyksiin, yksityisyyden loukkauksiin sekä henkilö- ja ammattitietojen vaarantumiseen.
Lisäksi RAT-infektioilla voi olla tuhoisia vaikutuksia käyttäjien yksityisyyteen ja turvallisuuteen. Petoksiin liittyvät toimijat voivat käyttää RAT-laitteita verkkokameroiden ja mikrofonien käyttöön, vakoilemalla uhreja tehokkaasti omassa kodissaan. Tämä henkilökohtaisiin tiloihin tunkeutuminen ei vain loukkaa yksityisyyttä, vaan voi myös johtaa kiristykseen tai vaarantavan sisällön jakeluun. Lisäksi RAT:illa voidaan muuttaa tartunnan saaneita laitteita osaksi botnet-verkkoa, joka voi käynnistää laajoja kyberhyökkäyksiä, levittää haittaohjelmia muihin järjestelmiin tai suorittaa rikollisia toimia hyökkääjän puolesta. Viime kädessä RAT-infektiot heikentävät luottamusta digitaaliseen ympäristöön, heikentävät henkilökohtaista turvallisuutta ja voivat aiheuttaa pitkäaikaisia, vakavia seurauksia yksilöille, yrityksille ja jopa kansakunnille.
