GHOSTPULSE Malware
Bola zistená tajná kampaň kybernetického útoku, ktorá zahŕňala použitie falošných súborov balíka aplikácií MSIX Windows pre známy softvér, ako sú Google Chrome, Microsoft Edge, Brave, Grammarly a Cisco Webex. Tieto nebezpečné súbory sa používajú na šírenie nového typu zavádzača škodlivého softvéru s názvom GHOSTPULSE.
MSIX je formát balíka aplikácií Windows, ktorý môžu vývojári použiť na balenie, distribúciu a inštaláciu svojho softvéru v systémoch Windows. Je však dôležité poznamenať, že vytváranie a používanie súborov MSIX si vyžaduje prístup k legitímne získaným alebo nezákonne získaným certifikátom na podpisovanie kódu, vďaka čomu je táto metóda obzvlášť príťažlivá pre dobre financované a vynaliezavé skupiny hackerov.
Obsah
Útočníci používajú rôzne taktiky návnady na doručenie malvéru GHOSTPULSE
Na základe inštalátorov návnad používaných v tejto schéme existuje podozrenie, že potenciálne obete sú zavádzané pri sťahovaní balíkov MSIX pomocou dobre známych techník vrátane napadnutých webových stránok, otravy optimalizáciou pre vyhľadávače (SEO) alebo podvodnej reklamy (malvertising).
Po spustení súboru MSIX sa zobrazí výzva systému Windows, ktorá vyzýva používateľov, aby klikli na tlačidlo „Inštalovať“. Potom sa GHOSTPULSE potichu stiahne do napadnutého hostiteľa zo vzdialeného servera (konkrétne 'manojsinghnegi[.]com') prostredníctvom skriptu PowerShell.
Tento proces prebieha vo viacerých fázach, pričom počiatočným nákladom je archívny súbor TAR. Tento archív obsahuje spustiteľný súbor, ktorý predstavuje službu Oracle VM VirtualBox (VBoxSVC.exe), ale v skutočnosti ide o legitímny binárny súbor dodávaný s programom Notepad++ (gup.exe).
Okrem toho sa v archíve TAR nachádza súbor s názvom handoff.wav a trojanizovaná verzia libcurl.dll. Táto zmenená libcurl.dll sa načíta, aby postúpila proces infekcie do ďalšej fázy využitím zraniteľnosti v gup.exe prostredníctvom bočného načítania DLL.
Viaceré škodlivé techniky zapojené do infekčného reťazca škodlivého softvéru GHOSTPULSE
Skript PowerShell spustí spustenie binárneho súboru VBoxSVC.exe, ktorý sa zasa zapojí do načítania knižnice DLL načítaním poškodenej knižnice DLL libcurl.dll z aktuálneho adresára. Táto metóda umožňuje aktérovi hrozby minimalizovať prítomnosť zašifrovaného škodlivého kódu na disku, čo im umožňuje vyhnúť sa detekcii antivírusovým programom založeným na súboroch a skenovaním strojového učenia.
Potom manipulovaný súbor DLL pokračuje analýzou handoff.wav. V rámci tohto zvukového súboru je ukrytý šifrovaný obsah, ktorý je následne dekódovaný a spustený cez mshtml.dll. Táto technika, známa ako modul dupanie, sa používa na spustenie GHOSTPULSE v konečnom dôsledku.
GHOSTPULSE funguje ako zavádzač a využíva inú techniku nazývanú proces doppelgänging na spustenie spustenia konečnej sady malvéru, ktorá zahŕňa SectopRAT , Rhadamanthys , Vidar, Lumma a NetSupport RAT .
Dôsledky pre obete útokov škodlivého softvéru môžu byť vážne
Infekcia trójskych koní so vzdialeným prístupom (RAT) má niekoľko strašných následkov pre zariadenia používateľov, čo z nej robí jeden z najnebezpečnejších typov malvéru. Po prvé, RAT poskytuje neoprávnený prístup a kontrolu zlomyseľným aktérom, čo im umožňuje tajne sledovať, manipulovať a kradnúť citlivé informácie z infikovaného zariadenia. To zahŕňa prístup k osobným súborom, prihlasovacím povereniam, finančným údajom a dokonca aj možnosť monitorovať a zaznamenávať stlačenia klávesov, čo z neho robí silný nástroj na krádež identity a špionáž. Tieto aktivity môžu viesť k finančným stratám, narušeniu súkromia a ohrozeniu osobných a profesionálnych údajov.
Okrem toho infekcie RAT môžu mať zničujúci vplyv na súkromie a bezpečnosť používateľov. Aktéri súvisiaci s podvodmi môžu použiť RAT na zapnutie webových kamier a mikrofónov a efektívne špehovať obete v ich vlastných domovoch. Tento zásah do osobných priestorov nielenže porušuje súkromie, ale môže viesť aj k vydieraniu alebo šíreniu kompromitujúceho obsahu. Okrem toho môžu byť RAT použité na premenu infikovaných zariadení na súčasť botnetu, ktorý môže spustiť rozsiahle kybernetické útoky, distribuovať malvér do iných systémov alebo vykonávať trestnú činnosť v mene útočníka. Infekcie RAT v konečnom dôsledku podkopávajú dôveru v digitálne prostredie, narúšajú osobnú bezpečnosť a môžu mať dlhodobé a vážne následky pre jednotlivcov, podniky a dokonca aj národy.
