GHOSTPULSE-malware
Er is een heimelijke cyberaanvalcampagne gedetecteerd, waarbij gebruik werd gemaakt van valse MSIX Windows-applicatiepakketbestanden voor bekende software zoals Google Chrome, Microsoft Edge, Brave, Grammarly en Cisco Webex. Deze onveilige bestanden worden gebruikt om een nieuw type malware-lader te verspreiden, genaamd GHOSTPULSE.
MSIX is een Windows-applicatiepakketformaat dat ontwikkelaars kunnen gebruiken om hun software op Windows-systemen te verpakken, distribueren en installeren. Het is echter belangrijk op te merken dat het maken en gebruiken van MSIX-bestanden toegang vereist tot legitiem verkregen of illegaal verkregen certificaten voor codeondertekening, waardoor deze methode vooral aantrekkelijk is voor goed gefinancierde en vindingrijke hackergroepen.
Inhoudsopgave
Aanvallers gebruiken verschillende loktactieken om de GHOSTPULSE-malware af te leveren
Op basis van de in dit programma gebruikte bait-installers wordt vermoed dat potentiële slachtoffers worden misleid om de MSIX-pakketten te downloaden met behulp van bekende technieken, waaronder gecompromitteerde websites, Search Engine Optimization (SEO)-vergiftiging of frauduleuze advertenties (malvertising).
Wanneer het MSIX-bestand wordt uitgevoerd, verschijnt er een Windows-prompt waarin gebruikers worden aangespoord op de knop 'Installeren' te klikken. Wanneer dit wordt gedaan, wordt GHOSTPULSE stil gedownload naar de getroffen host vanaf een externe server (met name 'manojsinghnegi[.]com') via een PowerShell-script.
Dit proces verloopt in meerdere fasen, waarbij de initiële payload een TAR-archiefbestand is. Dit archief bevat een uitvoerbaar bestand dat zich voordoet als de Oracle VM VirtualBox-service (VBoxSVC.exe), maar in werkelijkheid is het een legitiem binair bestand gebundeld met Notepad++ (gup.exe).
Bovendien bevindt zich in het TAR-archief een bestand met de naam handoff.wav en een getrojaniseerde versie van libcurl.dll. Deze gewijzigde libcurl.dll wordt geladen om het infectieproces naar de volgende fase te brengen door misbruik te maken van een kwetsbaarheid in gup.exe via side-loading van DLL's.
De meerdere, schadelijke technieken die betrokken zijn bij de GHOSTPULSE-malware-infectieketen
Het PowerShell-script initieert de uitvoering van de binaire VBoxSVC.exe, die op zijn beurt DLL-zijladen uitvoert door de beschadigde DLL libcurl.dll uit de huidige map te laden. Met deze methode kan de bedreigingsacteur de aanwezigheid van versleutelde kwaadaardige code op de schijf minimaliseren, waardoor hij detectie door op bestanden gebaseerde antivirus- en machine learning-scans kan omzeilen.
Hierna gaat het gemanipuleerde DLL-bestand verder met het analyseren van handoff.wav. Binnen dit audiobestand is een gecodeerde payload verborgen, die vervolgens wordt gedecodeerd en uitgevoerd via mshtml.dll. Deze techniek, bekend als module stamping, wordt uiteindelijk gebruikt om GHOSTPULSE te starten.
GHOSTPULSE functioneert als een lader en maakt gebruik van een andere techniek genaamd process doppelgänging om de uitvoering van de laatste reeks malware te initiëren, waaronder SectopRAT , Rhadamanthys , Vidar, Lumma en de NetSupport RAT .
De gevolgen voor slachtoffers van malwareaanvallen kunnen ernstig zijn
Een Remote Access Trojan (RAT)-infectie heeft verschillende ernstige gevolgen voor de apparaten van gebruikers, waardoor het een van de gevaarlijkste soorten malware is. Ten eerste verleent een RAT ongeautoriseerde toegang en controle aan kwaadwillende actoren, waardoor ze heimelijk gevoelige informatie van het geïnfecteerde apparaat kunnen observeren, manipuleren en stelen. Dit omvat toegang tot persoonlijke bestanden, inloggegevens, financiële gegevens en zelfs de mogelijkheid om toetsaanslagen te controleren en vast te leggen, waardoor het een krachtig hulpmiddel is voor identiteitsdiefstal en spionage. Deze activiteiten kunnen leiden tot financiële verliezen, inbreuken op de privacy en het compromitteren van persoonlijke en professionele gegevens.
Bovendien kunnen RAT-infecties verwoestende gevolgen hebben voor de privacy en veiligheid van gebruikers. Fraudegerelateerde actoren kunnen RAT's gebruiken om webcams en microfoons in te schakelen, waardoor slachtoffers effectief in hun eigen huis kunnen worden bespioneerd. Deze inbreuk op persoonlijke ruimtes schendt niet alleen de privacy, maar kan ook leiden tot chantage of de verspreiding van compromitterende inhoud. Bovendien kunnen RAT's worden gebruikt om geïnfecteerde apparaten om te zetten in onderdeel van een botnet, dat grootschalige cyberaanvallen kan lanceren, malware naar andere systemen kan verspreiden of namens de aanvaller criminele activiteiten kan uitvoeren. Uiteindelijk ondermijnen RAT-infecties het vertrouwen in de digitale omgeving, ondermijnen ze de persoonlijke veiligheid en kunnen ze langdurige, ernstige gevolgen hebben voor individuen, bedrijven en zelfs landen.
