GHOSTPULSE kenkėjiška programa
Buvo aptikta slapta kibernetinės atakos kampanija, apimanti suklastotų MSIX Windows programų paketų failų naudojimą gerai žinomai programinei įrangai, pvz., Google Chrome, Microsoft Edge, Brave, Grammarly ir Cisco Webex. Šie nesaugūs failai naudojami platinti naujo tipo kenkėjiškų programų įkroviklį, vadinamą GHOSTPULSE.
MSIX yra „Windows“ programų paketo formatas, kurį kūrėjai gali naudoti norėdami supakuoti, platinti ir įdiegti programinę įrangą „Windows“ sistemose. Tačiau svarbu pažymėti, kad kuriant ir naudojant MSIX failus būtina prieiga prie teisėtai gautų arba neteisėtai įgytų kodo pasirašymo sertifikatų, todėl šis metodas ypač patrauklus gerai finansuojamoms ir išradingoms įsilaužėlių grupėms.
Turinys
Užpuolikai naudoja įvairias viliojimo taktikas, kad pristatytų GHOSTPULSE kenkėjišką programą
Remiantis šioje schemoje naudojamomis masalo diegimo programomis, įtariama, kad potencialios aukos yra klaidinamos atsisiunčiant MSIX paketus naudojant gerai žinomas technikas, įskaitant pažeistas svetaines, apsinuodijimą Search Engine Optimization (SEO) arba apgaulingą reklamą (malvertising).
Kai vykdomas MSIX failas, pasirodo „Windows“ raginimas, raginantis vartotojus spustelėti mygtuką „Įdiegti“. Tai padarius, GHOSTPULSE tyliai atsisiunčiama į pažeistą pagrindinį kompiuterį iš nuotolinio serverio (konkrečiai, „manojsinghnegi[.]com“) naudojant „PowerShell“ scenarijų.
Šis procesas vyksta keliais etapais, o pradinė naudingoji apkrova yra TAR archyvo failas. Šiame archyve yra vykdomasis failas, kuris atrodo kaip „Oracle VM VirtualBox“ paslauga (VBoxSVC.exe), tačiau iš tikrųjų tai yra teisėtas dvejetainis failas, susietas su „Notepad++“ (gup.exe).
Be to, TAR archyve yra failas, pavadintas handoff.wav, ir trojanizuota libcurl.dll versija. Šis pakeistas libcurl.dll įkeliamas, kad infekcijos procesas būtų perkeltas į kitą etapą, išnaudojant gup.exe pažeidžiamumą per DLL šoninį įkėlimą.
Įvairios žalingos technikos, susijusios su GHOSTPULSE kenkėjiškų programų užkrėtimo grandine
PowerShell scenarijus inicijuoja dvejetainio VBoxSVC.exe vykdymą, kuris savo ruožtu įkelia DLL šoninį įkėlimą, įkeldamas sugadintą DLL libcurl.dll iš dabartinio katalogo. Šis metodas leidžia grėsmės veikėjui iki minimumo sumažinti užšifruoto kenkėjiško kodo buvimą diske ir išvengti aptikimo naudojant failais pagrįstą antivirusinę ir mašininio mokymosi nuskaitymą.
Po to manipuliuojamas DLL failas tęsiamas analizuojant handoff.wav. Šiame garso faile slepiamas užšifruotas naudingasis krovinys, kuris vėliau iššifruojamas ir vykdomas naudojant mshtml.dll. Šis metodas, žinomas kaip modulio stabdymas, yra naudojamas galiausiai paleisti GHOSTPULSE.
GHOSTPULSE veikia kaip įkroviklis ir naudoja kitą techniką, vadinamą procesų dviprasmiškumu, kad būtų pradėtas galutinis kenkėjiškų programų rinkinys, apimantis SectopRAT , Rhadamanthys , Vidar , Lumma ir NetSupport RAT .
Kenkėjiškų programų atakų aukoms pasekmės gali būti sunkios
Nuotolinės prieigos Trojos arklys (RAT) sukelia keletą baisių pasekmių vartotojų įrenginiams, todėl tai yra viena pavojingiausių kenkėjiškų programų tipų. Pirma, RAT suteikia neteisėtą prieigą ir kontrolę kenkėjiškiems veikėjams, leisdamas jiems slapta stebėti, manipuliuoti ir pavogti neskelbtiną informaciją iš užkrėsto įrenginio. Tai apima prieigą prie asmeninių failų, prisijungimo kredencialų, finansinių duomenų ir netgi galimybę stebėti ir įrašyti klavišų paspaudimus, todėl tai yra galinga tapatybės vagystės ir šnipinėjimo priemonė. Ši veikla gali sukelti finansinius nuostolius, privatumo pažeidimus ir asmens bei profesinių duomenų pavojų.
Be to, RAT infekcijos gali turėti pražūtingos įtakos vartotojų privatumui ir saugumui. Su sukčiavimu susiję veikėjai gali naudoti RAT, kad įjungtų internetines kameras ir mikrofonus, efektyviai šnipinėdami aukas savo namuose. Toks įsibrovimas į asmenines erdves ne tik pažeidžia privatumą, bet ir gali sukelti šantažą ar kompromituojančio turinio platinimą. Be to, RAT gali būti naudojami užkrėstiems įrenginiams paversti botneto dalimi, kuri gali pradėti didelio masto kibernetines atakas, platinti kenkėjiškas programas kitoms sistemoms arba vykdyti nusikalstamą veiklą užpuoliko vardu. Galiausiai RAT infekcijos pakerta pasitikėjimą skaitmenine aplinka, mažina asmeninį saugumą ir gali turėti ilgalaikių, sunkių pasekmių asmenims, įmonėms ir net tautoms.
