GHOSTPULSE Malware
Otkrivena je prikrivena kampanja kibernetičkog napada koja uključuje korištenje lažnih MSIX Windows paketnih datoteka za dobro poznati softver kao što su Google Chrome, Microsoft Edge, Brave, Grammarly i Cisco Webex. Ove nesigurne datoteke koriste se za širenje nove vrste učitavača zlonamjernog softvera pod nazivom GHOSTPULSE.
MSIX je format paketa Windows aplikacija koji programeri mogu koristiti za pakiranje, distribuciju i instaliranje svog softvera na Windows sustave. Međutim, važno je napomenuti da stvaranje i korištenje MSIX datoteka zahtijeva pristup legitimno dobivenim ili nezakonito stečenim certifikatima za potpisivanje koda, što ovu metodu čini posebno privlačnom za dobro financirane i snalažljive hakerske skupine.
Sadržaj
Napadači koriste razne taktike namamljivanja kako bi isporučili zlonamjerni softver GHOSTPULSE
Na temelju instalatera mamaca korištenih u ovoj shemi, sumnja se da su potencijalne žrtve dovedene u zabludu da preuzmu MSIX pakete korištenjem dobro poznatih tehnika, uključujući kompromitirane web stranice, trovanje optimizacijom tražilica (SEO) ili lažno oglašavanje (malvertising).
Kada se MSIX datoteka izvrši, pojavljuje se Windows prompt koji poziva korisnike da kliknu gumb 'Instaliraj'. Nakon što to učinite, GHOSTPULSE se tiho preuzima na kompromitirano računalo s udaljenog poslužitelja (konkretno, 'manojsinghnegi[.]com') putem skripte PowerShell.
Ovaj se proces odvija kroz više faza, a početni sadržaj je TAR arhivska datoteka. Ova arhiva sadrži izvršnu datoteku koja se predstavlja kao usluga Oracle VM VirtualBox (VBoxSVC.exe), ali u stvarnosti je to legitimna binarna datoteka u paketu s Notepad++ (gup.exe).
Osim toga, unutar TAR arhive postoji datoteka pod nazivom handoff.wav i trojanizirana verzija libcurl.dll. Ovaj izmijenjeni libcurl.dll učitava se kako bi napredovao proces infekcije u sljedeću fazu iskorištavanjem ranjivosti u gup.exe kroz bočno učitavanje DLL-a.
Višestruke, štetne tehnike uključene u lanac zaraze zlonamjernim softverom GHOSTPULSE
Skripta PowerShell inicira izvršavanje binarne datoteke VBoxSVC.exe, koja zauzvrat uključuje DLL bočno učitavanje učitavanjem oštećene DLL libcurl.dll iz trenutnog direktorija. Ova metoda omogućuje akteru prijetnje da minimizira prisutnost šifriranog zlonamjernog koda na disku, omogućujući mu da izbjegne otkrivanje pomoću antivirusnog programa temeljenog na datotekama i skeniranja strojnog učenja.
Nakon toga, manipulirana DLL datoteka nastavlja analizom handoff.wav. Unutar ove audio datoteke skriven je šifrirani sadržaj koji se potom dekodira i izvršava putem mshtml.dll. Ova tehnika, poznata kao gaženje modula, koristi se za konačno pokretanje GHOSTPULSE-a.
GHOSTPULSE funkcionira kao učitavač i koristi drugu tehniku koja se zove proces doppelgänging za pokretanje konačnog skupa zlonamjernog softvera, koji uključuje SectopRAT , Rhadamanthys , Vidar, Lumma i NetSupport RAT .
Posljedice za žrtve napada zlonamjernog softvera mogu biti ozbiljne
Infekcija RAT-om (Remote Access Trojan) ostavlja nekoliko strašnih posljedica za korisničke uređaje, što ga čini jednom od najopasnijih vrsta zlonamjernog softvera. Prvo, RAT dopušta neovlašteni pristup i kontrolu zlonamjernim akterima, dopuštajući im tajno promatranje, manipuliranje i krađu osjetljivih informacija sa zaraženog uređaja. To uključuje pristup osobnim datotekama, vjerodajnicama za prijavu, financijskim podacima, pa čak i mogućnost praćenja i snimanja pritisaka na tipke, što ga čini moćnim alatom za krađu identiteta i špijunažu. Ove aktivnosti mogu dovesti do financijskih gubitaka, povrede privatnosti i ugrožavanja osobnih i profesionalnih podataka.
Nadalje, RAT infekcije mogu imati razorne učinke na privatnost i sigurnost korisnika. Akteri povezani s prijevarama mogu koristiti RAT-ove za uključivanje web kamera i mikrofona, učinkovito špijunirajući žrtve u njihovim domovima. Ovo zadiranje u osobni prostor ne samo da narušava privatnost, već može dovesti i do ucjene ili distribucije kompromitirajućeg sadržaja. Osim toga, RAT-ovi se mogu koristiti za pretvaranje zaraženih uređaja u dio botneta, koji može pokrenuti kibernetičke napade velikih razmjera, distribuirati zlonamjerni softver drugim sustavima ili provoditi kriminalne aktivnosti u ime napadača. U konačnici, RAT infekcije potkopavaju povjerenje u digitalno okruženje, narušavaju osobnu sigurnost i mogu imati dugotrajne, teške posljedice za pojedince, tvrtke, pa čak i nacije.
