GHOSTPULSE ļaunprātīga programmatūra
Tika atklāta slēpta kiberuzbrukuma kampaņa, kas ietver viltotu MSIX Windows lietojumprogrammu pakotņu failu izmantošanu labi zināmai programmatūrai, piemēram, Google Chrome, Microsoft Edge, Brave, Grammarly un Cisco Webex. Šie nedrošie faili tiek izmantoti, lai izplatītu jauna veida ļaunprātīgas programmatūras ielādētāju, ko sauc par GHOSTPULSE.
MSIX ir Windows lietojumprogrammu pakotnes formāts, ko izstrādātāji var izmantot, lai iepakotu, izplatītu un instalētu savu programmatūru Windows sistēmās. Tomēr ir svarīgi atzīmēt, ka MSIX failu izveidei un lietošanai ir nepieciešama piekļuve likumīgi iegūtiem vai nelikumīgi iegūtiem koda parakstīšanas sertifikātiem, tādēļ šī metode ir īpaši pievilcīga labi finansētām un atjautīgām hakeru grupām.
Satura rādītājs
Uzbrucēji izmanto dažādas pievilināšanas taktikas, lai nodrošinātu ļaunprogrammatūru GHOSTPULSE
Pamatojoties uz šajā shēmā izmantotajiem ēsmas instalētājiem, pastāv aizdomas, ka potenciālie upuri tiek maldināti, lai lejupielādētu MSIX pakotnes, izmantojot labi zināmas metodes, tostarp uzlauztas tīmekļa vietnes, saindēšanos ar meklētājprogrammu optimizāciju (SEO) vai krāpniecisku reklāmu (ļaunprātīgu reklāmu).
Kad MSIX fails tiek izpildīts, tiek parādīta Windows uzvedne, kas mudina lietotājus noklikšķināt uz pogas Instalēt. To darot, GHOSTPULSE tiek klusi lejupielādēts apdraudētajā resursdatorā no attālā servera (konkrēti, “manojsinghnegi[.]com”), izmantojot PowerShell skriptu.
Šis process notiek vairākos posmos, un sākotnējā lietderīgā slodze ir TAR arhīva fails. Šajā arhīvā ir izpildāms fails, kas tiek uzskatīts par Oracle VM VirtualBox pakalpojumu (VBoxSVC.exe), taču patiesībā tas ir likumīgs binārs, kas ir komplektā ar Notepad++ (gup.exe).
Turklāt TAR arhīvā ir fails ar nosaukumu handoff.wav un libcurl.dll Trojas versija. Šis izmainītais libcurl.dll tiek ielādēts, lai pārietu inficēšanās procesu uz nākamo posmu, izmantojot gup.exe ievainojamību, izmantojot DLL sānu ielādi.
GHOSTPULSE ļaunprātīgas programmatūras infekcijas ķēdē iesaistītās vairākas kaitīgas metodes
PowerShell skripts ierosina binārā VBoxSVC.exe izpildi, kas, savukārt, iesaistās DLL sānu ielāde, ielādējot bojāto DLL libcurl.dll no pašreizējā direktorija. Šī metode ļauj apdraudējuma dalībniekiem samazināt šifrēta ļaunprātīga koda klātbūtni diskā, ļaujot tiem izvairīties no atklāšanas, izmantojot uz failiem balstītu pretvīrusu un mašīnmācīšanās skenēšanu.
Pēc tam manipulētais DLL fails tiek turpināts, analizējot handoff.wav. Šajā audio failā ir paslēpta šifrēta lietderīgā slodze, kas pēc tam tiek atkodēta un izpildīta, izmantojot failu mshtml.dll. Šis paņēmiens, kas pazīstams kā moduļa apturēšana, tiek izmantots, lai palaistu programmu GHOSTPULSE.
GHOSTPULSE darbojas kā ielādētājs un izmanto citu paņēmienu, ko sauc par procesu dublēšanu, lai sāktu galīgās ļaunprogrammatūras komplekta izpildi, kas ietver SectopRAT , Rhadamanthys , Vidar, Lumma un NetSupport RAT .
Sekas ļaunprātīgas programmatūras uzbrukumu upuriem var būt smagas
Attālās piekļuves Trojas zirga (RAT) infekcija rada vairākas briesmīgas sekas lietotāju ierīcēm, padarot to par vienu no visbīstamākajiem ļaunprātīgas programmatūras veidiem. Pirmkārt, RAT nodrošina nesankcionētu piekļuvi un kontroli ļaunprātīgiem dalībniekiem, ļaujot tiem slēpti novērot, manipulēt un nozagt sensitīvu informāciju no inficētās ierīces. Tas ietver piekļuvi personīgajiem failiem, pieteikšanās akreditācijas datiem, finanšu datiem un pat iespēju pārraudzīt un ierakstīt taustiņu nospiešanu, padarot to par spēcīgu identitātes zādzības un spiegošanas rīku. Šīs darbības var radīt finansiālus zaudējumus, privātuma pārkāpumus un personas un profesionālo datu apdraudējumu.
Turklāt RAT infekcijām var būt postoša ietekme uz lietotāju privātumu un drošību. Ar krāpšanu saistīti dalībnieki var izmantot RAT, lai ieslēgtu tīmekļa kameras un mikrofonus, efektīvi izspiegojot upurus savās mājās. Šāda ielaušanās personiskajās telpās ne tikai pārkāpj privātumu, bet arī var izraisīt šantāžu vai kompromitējoša satura izplatīšanu. Turklāt RAT var izmantot, lai pārvērstu inficētās ierīces par robottīkla daļu, kas var veikt liela mēroga kiberuzbrukumus, izplatīt ļaunprātīgu programmatūru uz citām sistēmām vai veikt noziedzīgas darbības uzbrucēja vārdā. Galu galā RAT infekcijas grauj uzticēšanos digitālajai videi, mazina personīgo drošību un var radīt ilgstošas, smagas sekas indivīdiem, uzņēmumiem un pat valstīm.
