GHOSTPULSE Skadelig programvare
En snikende nettangrepskampanje har blitt oppdaget, som involverer bruk av falske MSIX Windows-programpakkefiler for velkjent programvare som Google Chrome, Microsoft Edge, Brave, Grammarly og Cisco Webex. Disse usikre filene blir brukt til å spre en ny type skadevarelaster kalt GHOSTPULSE.
MSIX er et Windows-applikasjonspakkeformat som utviklere kan bruke til å pakke, distribuere og installere programvaren deres på Windows-systemer. Det er imidlertid viktig å merke seg at oppretting og bruk av MSIX-filer krever tilgang til lovlig innhentede eller ulovlig anskaffede kodesigneringssertifikater, noe som gjør denne metoden spesielt attraktiv for velfinansierte og ressurssterke hackergrupper.
Innholdsfortegnelse
Angripere bruker forskjellige lokketaktikker for å levere GHOSTPULSE-malware
Basert på agninstallatørene som brukes i denne ordningen, mistenkes det at potensielle ofre blir villedet til å laste ned MSIX-pakkene ved å bruke velkjente teknikker, inkludert kompromitterte nettsteder, søkemotoroptimalisering (SEO)-forgiftning eller uredelig reklame (malvertising).
Når MSIX-filen kjøres, vises en Windows-ledetekst, som ber brukerne klikke på 'Installer'-knappen. Når du gjør det, lastes GHOSTPULSE ned til den kompromitterte verten fra en ekstern server (spesifikt 'manojsinghnegi[.]com') via et PowerShell-skript.
Denne prosessen utfolder seg over flere stadier, med den første nyttelasten som en TAR-arkivfil. Dette arkivet inneholder en kjørbar fil som poserer som Oracle VM VirtualBox-tjenesten (VBoxSVC.exe), men i virkeligheten er det en legitim binær sammen med Notepad++ (gup.exe).
I tillegg, i TAR-arkivet, er det en fil som heter handoff.wav og en trojanisert versjon av libcurl.dll. Denne endrede libcurl.dll lastes inn for å fortsette infeksjonsprosessen til neste trinn ved å utnytte en sårbarhet i gup.exe gjennom DLL-sidelasting.
De mange skadelige teknikkene som er involvert i GHOSTPULSE-infeksjonskjeden for skadelig programvare
PowerShell-skriptet starter kjøringen av den binære VBoxSVC.exe, som igjen engasjerer seg i DLL-sidelasting ved å laste den ødelagte DLL-filen libcurl.dll fra gjeldende katalog. Denne metoden lar trusselaktøren minimere tilstedeværelsen på disken av kryptert ondsinnet kode, slik at de kan unngå gjenkjenning ved filbasert antivirus- og maskinlæringsskanning.
Etter dette fortsetter den manipulerte DLL-filen ved å analysere handoff.wav. Innenfor denne lydfilen er en kryptert nyttelast skjult, som deretter dekodes og kjøres gjennom mshtml.dll. Denne teknikken, kjent som modultramping, brukes til å starte GHOSTPULSE til slutt.
GHOSTPULSE fungerer som en laster og bruker en annen teknikk kalt prosessdoppelgänging for å starte utføringen av det endelige settet med skadelig programvare, som inkluderer SectopRAT , Rhadamanthys , Vidar, Lumma og NetSupport RAT .
Konsekvensene for ofre for skadelig programvare kan være alvorlige
En Remote Access Trojan (RAT)-infeksjon har flere alvorlige konsekvenser for brukernes enheter, noe som gjør den til en av de farligste typene skadelig programvare. For det første gir en RAT uautorisert tilgang og kontroll til ondsinnede aktører, slik at de i det skjulte kan observere, manipulere og stjele sensitiv informasjon fra den infiserte enheten. Dette inkluderer tilgang til personlige filer, påloggingsinformasjon, økonomiske data og til og med muligheten til å overvåke og registrere tastetrykk, noe som gjør det til et potent verktøy for identitetstyveri og spionasje. Disse aktivitetene kan føre til økonomiske tap, personvernbrudd og kompromittering av personlige og profesjonelle data.
Videre kan RAT-infeksjoner ha ødeleggende konsekvenser for brukernes personvern og sikkerhet. Svindelrelaterte aktører kan bruke RAT-er til å slå på webkameraer og mikrofoner, og effektivt spionere på ofre i deres egne hjem. Denne inntrengningen i personlige rom krenker ikke bare personvernet, men kan også føre til utpressing eller distribusjon av kompromitterende innhold. I tillegg kan RAT-er brukes til å gjøre infiserte enheter om til en del av et botnett, som kan starte storskala cyberangrep, distribuere skadelig programvare til andre systemer eller utføre kriminelle aktiviteter på vegne av angriperen. Til syvende og sist undergraver RAT-infeksjoner tilliten til det digitale miljøet, eroderer personlig sikkerhet og kan ha langvarige, alvorlige konsekvenser for enkeltpersoner, bedrifter og til og med nasjoner.
