GHOSTPULSE rosszindulatú program
Lopakodó kibertámadási kampányt észleltek, amelyben hamis MSIX Windows alkalmazáscsomag-fájlokat használtak olyan jól ismert szoftverekhez, mint a Google Chrome, a Microsoft Edge, a Brave, a Grammarly és a Cisco Webex. Ezeket a nem biztonságos fájlokat egy új típusú, GHOSTPULSE nevű rosszindulatú programbetöltő terjesztésére használják.
Az MSIX egy Windows-alkalmazáscsomag-formátum, amelyet a fejlesztők használhatnak szoftvereik Windows rendszerekre történő csomagolására, terjesztésére és telepítésére. Fontos azonban megjegyezni, hogy az MSIX fájlok létrehozásához és használatához hozzáférés szükséges a legálisan megszerzett vagy illegálisan megszerzett kódaláíró tanúsítványokhoz, így ez a módszer különösen vonzó a jól finanszírozott és találékony hackercsoportok számára.
Tartalomjegyzék
A támadók különféle csalási taktikákat alkalmaznak a GHOSTPULSE rosszindulatú program kézbesítésére
Az ebben a sémában használt csalitelepítők alapján feltételezhető, hogy a potenciális áldozatokat félrevezetik az MSIX-csomagok letöltésével, jól ismert technikákkal, ideértve a feltört webhelyeket, a keresőoptimalizálási (SEO) mérgezést vagy a csaló reklámozást (rosszindulatú reklámozást).
Amikor az MSIX fájl végrehajtódik, megjelenik egy Windows üzenet, amely arra kéri a felhasználókat, hogy kattintson a „Telepítés” gombra. Ekkor a GHOSTPULSE csendben letöltődik a feltört gazdagépre egy távoli kiszolgálóról (konkrétan „manojsinghnegi[.]com”) egy PowerShell-szkripten keresztül.
Ez a folyamat több szakaszban bontakozik ki, és a kezdeti hasznos adat egy TAR archív fájl. Ez az archívum egy végrehajtható fájlt tartalmaz, amely az Oracle VM VirtualBox szolgáltatásnak (VBoxSVC.exe) tűnik, de valójában ez egy legitim bináris fájl a Notepad++-szal (gup.exe) csomagolva.
Ezenkívül a TAR archívumban található egy handoff.wav nevű fájl és a libcurl.dll trójai változata. Ez a módosított libcurl.dll betöltődik, hogy a fertőzési folyamatot a következő szakaszba vigye a gup.exe fájl biztonsági résének kihasználásával a DLL oldalsó betöltésén keresztül.
A GHOSTPULSE rosszindulatú programok fertőzési láncában szereplő többféle, ártalmas technika
A PowerShell-parancsfájl elindítja a bináris VBoxSVC.exe végrehajtását, amely viszont a DLL oldalsó betöltésébe kapcsol be azáltal, hogy betölti a sérült DLL libcurl.dll fájlt az aktuális könyvtárból. Ez a módszer lehetővé teszi a fenyegetés szereplői számára, hogy minimálisra csökkentsék a titkosított rosszindulatú kódok lemezen való jelenlétét, lehetővé téve számukra, hogy elkerüljék a fájlalapú víruskereső és a gépi tanulási vizsgálat általi észlelést.
Ezt követően a manipulált DLL fájl a handoff.wav elemzésével folytatódik. Ezen a hangfájlon belül egy titkosított hasznos adat van elrejtve, amelyet ezt követően dekódolnak és végrehajtanak az mshtml.dll fájlon keresztül. Ezt a technikát, amelyet modul stomping néven ismernek, a GHOSTPULSE végül elindítására használják.
A GHOSTPULSE betöltőként működik, és egy másik technikát alkalmaz, a process doppelgänging nevű technikát, hogy elindítsa a rosszindulatú programok végső készletének végrehajtását, amely magában foglalja a SectopRAT- ot, a Rhadamanthys-t , a Vidart, a Lummát és a NetSupport RAT-ot .
A kártevő támadások áldozatai számára súlyos következmények lehetnek
A Remote Access Trojan (RAT) fertőzés számos szörnyű következménnyel jár a felhasználók eszközeire nézve, így ez a rosszindulatú programok egyik legveszélyesebb típusa. Először is, a RAT jogosulatlan hozzáférést és ellenőrzést biztosít a rosszindulatú szereplőknek, lehetővé téve számukra, hogy titkosan megfigyeljék, manipulálják és érzékeny információkat lopjanak el a fertőzött eszközről. Ez magában foglalja a személyes fájlokhoz, bejelentkezési adatokhoz, pénzügyi adatokhoz való hozzáférést, sőt a billentyűleütések megfigyelésének és rögzítésének lehetőségét is, így hatékony eszköz a személyazonosság-lopás és a kémkedés ellen. Ezek a tevékenységek pénzügyi veszteségekhez, a magánélet megsértéséhez, valamint a személyes és szakmai adatok veszélyeztetéséhez vezethetnek.
Ezenkívül a RAT-fertőzések pusztító hatással lehetnek a felhasználók magánéletére és biztonságára. A csalással kapcsolatos szereplők a RAT-ok segítségével bekapcsolhatják a webkamerákat és mikrofonokat, így hatékonyan kémkedhetnek az áldozatok után saját otthonukban. A személyes terekbe való behatolás nemcsak a magánélet védelmét sérti, hanem zsaroláshoz vagy kompromittáló tartalom terjesztéséhez is vezethet. Ezenkívül a RAT-ok segítségével a fertőzött eszközöket egy botnet részévé alakíthatják, amelyek nagyszabású kibertámadásokat indíthatnak, rosszindulatú programokat terjeszthetnek más rendszerekre, vagy bűncselekményeket hajthatnak végre a támadó nevében. Végső soron a RAT-fertőzések aláássák a digitális környezetbe vetett bizalmat, rontják a személyes biztonságot, és hosszan tartó, súlyos következményekkel járhatnak az egyénekre, vállalkozásokra, sőt nemzetekre nézve is.
