תוכנה זדונית של GHOSTPULSE
זוהה קמפיין מתקפת סייבר חמקנית, הכולל שימוש בקבצי חבילת אפליקציות MSIX מזויפים של Windows עבור תוכנות ידועות כמו Google Chrome, Microsoft Edge, Brave, Grammarly ו-Cisco Webex. קבצים לא בטוחים אלה משמשים להפצת סוג חדש של מטעין תוכנות זדוניות בשם GHOSTPULSE.
MSIX הוא פורמט של חבילת אפליקציות של Windows שמפתחים יכולים להשתמש כדי לארוז, להפיץ ולהתקין את התוכנה שלהם במערכות Windows. עם זאת, חשוב לציין שיצירה ושימוש בקובצי MSIX מחייבים גישה לאישורי חתימת קוד שהושגו באופן לגיטימי או שנרכשו באופן לא חוקי, מה שהופך את השיטה הזו למושכת במיוחד לקבוצות האקרים ממומנות היטב ובעלות תושייה.
תוכן העניינים
תוקפים משתמשים בטקטיקות פיתוי שונות כדי לספק את התוכנה הזדונית של GHOSTPULSE
בהתבסס על מתקיני הפיתיון המשמשים בתוכנית זו, קיים חשד שקורבנות פוטנציאליים מוטעים להוריד את חבילות MSIX תוך שימוש בטכניקות ידועות, כולל אתרים שנפגעו, הרעלת אופטימיזציה למנועי חיפוש (SEO) או פרסום הונאה (פרסום מזויף).
כאשר קובץ ה-MSIX מבוצע, מופיעה הנחיה של Windows, שקוראת למשתמשים ללחוץ על כפתור 'התקן'. לאחר שעושה זאת, GHOSTPULSE יורדת בשקט אל המארח שנפרץ משרת מרוחק (באופן ספציפי, 'manojsinghnegi[.]com') באמצעות סקריפט PowerShell.
תהליך זה מתפרש על פני מספר שלבים, כאשר המטען הראשוני הוא קובץ ארכיון TAR. ארכיון זה מכיל קובץ הפעלה שמתחזה לשירות Oracle VM VirtualBox (VBoxSVC.exe), אך במציאות, זהו קובץ בינארי לגיטימי ארוז עם Notepad++ (gup.exe).
בנוסף, בארכיון TAR, יש קובץ בשם handoff.wav וגרסה טרויאנית של libcurl.dll. libcurl.dll שהשתנה נטען כדי לקדם את תהליך ההדבקה לשלב הבא על ידי ניצול פגיעות ב-gup.exe באמצעות טעינת צד של DLL.
הטכניקות הרבות והמזיקות הכרוכות בשרשרת ההדבקה בתוכנות זדוניות GHOSTPULSE
הסקריפט של PowerShell יוזם את הביצוע של הקובץ הבינארי VBoxSVC.exe, אשר, בתורו, עוסק בטעינת צד של DLL על ידי טעינת ה-DLL הפגום libcurl.dll מהספרייה הנוכחית. שיטה זו מאפשרת לשחקן האיום למזער את הנוכחות בדיסק של קוד זדוני מוצפן, ומאפשרת להם להתחמק מזיהוי על ידי אנטי וירוס מבוסס קבצים וסריקת למידת מכונה.
לאחר מכן, קובץ ה-DLL שעבר מניפולציות ממשיך בניתוח handoff.wav. בתוך קובץ אודיו זה, מוסתר מטען מוצפן, אשר מפוענח ומבוצע לאחר מכן באמצעות mshtml.dll. טכניקה זו, הידועה כ- Module stomping, משמשת להפעלת GHOSTPULSE בסופו של דבר.
GHOSTPULSE מתפקד כמטען ומשתמש בטכניקה נוספת הנקראת תהליך דופלגנינג כדי ליזום את הביצוע של הסט הסופי של תוכנות זדוניות, הכוללות את SectopRAT , Rhadamanthys , Vidar, Lumma ו- NetSupport RAT .
ההשלכות על קורבנות התקפות תוכנה זדוניות עשויות להיות חמורות
זיהום טרויאני בגישה מרחוק (RAT) מציב כמה השלכות קשות על מכשירי המשתמשים, מה שהופך אותו לאחד מסוגי התוכנה המסוכנים ביותר. ראשית, RAT מעניק גישה ושליטה בלתי מורשית לשחקנים זדוניים, ומאפשר להם לצפות בסתר, לתמרן ולגנוב מידע רגיש מהמכשיר הנגוע. זה כולל גישה לקבצים אישיים, אישורי התחברות, נתונים פיננסיים ואפילו את היכולת לנטר ולתעד הקשות, מה שהופך אותו לכלי רב עוצמה לגניבת זהות וריגול. פעילויות אלו עלולות להוביל להפסדים כספיים, להפרות פרטיות ולפגיעה בנתונים אישיים ומקצועיים.
יתר על כן, להידבקויות RAT יכולות להיות השפעות הרסניות על פרטיות המשתמש והאבטחה. שחקנים הקשורים להונאה יכולים להשתמש ב-RATs כדי להפעיל מצלמות אינטרנט ומיקרופונים, ולמעשה מרגלים אחר קורבנות בבתיהם. חדירה זו למרחבים אישיים לא רק פוגעת בפרטיות אלא יכולה גם להוביל לסחיטה או הפצה של תוכן פוגע. בנוסף, ניתן להשתמש ב-RATs כדי להפוך מכשירים נגועים לחלק מרשת בוט, שיכולה להפעיל התקפות סייבר בקנה מידה גדול, להפיץ תוכנות זדוניות למערכות אחרות או לבצע פעולות פליליות בשם התוקף. בסופו של דבר, זיהומי RAT מערערים את האמון בסביבה הדיגיטלית, שוחקים את הבטיחות האישית ויכולות להיות השלכות ארוכות טווח וחמורות עבור יחידים, עסקים ואפילו מדינות.
