GHOSTPULSE Malware
Zaznana je bila prikrita kampanja kibernetskega napada, ki vključuje uporabo ponarejenih datotek paketa aplikacij MSIX Windows za znano programsko opremo, kot so Google Chrome, Microsoft Edge, Brave, Grammarly in Cisco Webex. Te nevarne datoteke se uporabljajo za širjenje nove vrste nalagalnika zlonamerne programske opreme, imenovane GHOSTPULSE.
MSIX je format paketa aplikacij Windows, ki ga razvijalci lahko uporabljajo za pakiranje, distribucijo in namestitev svoje programske opreme v sisteme Windows. Vendar je pomembno upoštevati, da ustvarjanje in uporaba datotek MSIX zahteva dostop do zakonito pridobljenih ali nezakonito pridobljenih potrdil za podpisovanje kode, zaradi česar je ta metoda še posebej privlačna za dobro financirane in iznajdljive skupine hekerjev.
Kazalo
Napadalci uporabljajo različne taktike zvabljanja za dostavo zlonamerne programske opreme GHOSTPULSE
Na podlagi namestitvenih programov vab, uporabljenih v tej shemi, obstaja sum, da so potencialne žrtve zavedene, da prenesejo pakete MSIX z uporabo dobro znanih tehnik, vključno z ogroženimi spletnimi mesti, zastrupitvijo z optimizacijo iskalnikov (SEO) ali goljufivim oglaševanjem (malvertising).
Ko se datoteka MSIX izvede, se pojavi poziv Windows, ki uporabnike poziva, naj kliknejo gumb »Namesti«. Po tem se GHOSTPULSE tiho prenese na ogroženega gostitelja z oddaljenega strežnika (natančneje 'manojsinghnegi[.]com') prek skripta PowerShell.
Ta proces se odvija v več fazah, pri čemer je začetni tovor arhivska datoteka TAR. Ta arhiv vsebuje izvršljivo datoteko, ki se predstavlja kot storitev Oracle VM VirtualBox (VBoxSVC.exe), v resnici pa je zakonita binarna datoteka v paketu z Notepad++ (gup.exe).
Poleg tega je v arhivu TAR datoteka z imenom handoff.wav in trojanizirana različica libcurl.dll. Ta spremenjeni libcurl.dll se naloži za napredovanje procesa okužbe v naslednjo stopnjo z izkoriščanjem ranljivosti v gup.exe prek stranskega nalaganja DLL.
Več, škodljivih tehnik, vključenih v verigo okužbe z zlonamerno programsko opremo GHOSTPULSE
Skript PowerShell sproži izvajanje binarne datoteke VBoxSVC.exe, ki se nato vključi v stransko nalaganje DLL z nalaganjem poškodovanega DLL libcurl.dll iz trenutnega imenika. Ta metoda akterju grožnje omogoča, da minimizira prisotnost šifrirane zlonamerne kode na disku, kar jim omogoča, da se izognejo zaznavanju s protivirusnim programom na podlagi datotek in skeniranjem strojnega učenja.
Po tem manipulirana datoteka DLL nadaljuje z analizo handoff.wav. V tej zvočni datoteki je skrit šifriran koristni tovor, ki se nato dekodira in izvede prek mshtml.dll. Ta tehnika, znana kot teptanje modula, se uporablja za končni zagon GHOSTPULSE.
GHOSTPULSE deluje kot nalagalnik in uporablja drugo tehniko, imenovano doppelgänging procesa, da sproži izvajanje končnega nabora zlonamerne programske opreme, ki vključuje SectopRAT , Rhadamanthys , Vidar, Lumma in NetSupport RAT .
Posledice za žrtve napadov zlonamerne programske opreme so lahko resne
Okužba z oddaljenim dostopom Trojan (RAT) ima več hudih posledic za naprave uporabnikov, zaradi česar je ena najnevarnejših vrst zlonamerne programske opreme. Prvič, RAT podeljuje nepooblaščen dostop in nadzor zlonamernim akterjem, kar jim omogoča prikrito opazovanje, manipulacijo in krajo občutljivih informacij iz okužene naprave. To vključuje dostop do osebnih datotek, poverilnic za prijavo, finančnih podatkov in celo zmožnost spremljanja in snemanja pritiskov tipk, zaradi česar je močno orodje za krajo identitete in vohunjenje. Te dejavnosti lahko povzročijo finančne izgube, kršitve zasebnosti ter ogrožanje osebnih in poklicnih podatkov.
Poleg tega lahko okužbe s RAT uničujoče vplivajo na zasebnost in varnost uporabnikov. Akterji, povezani z goljufijami, lahko uporabljajo RATs za vklop spletnih kamer in mikrofonov ter tako učinkovito vohunijo za žrtvami v njihovih domovih. Ta vdor v osebne prostore ne le krši zasebnost, ampak lahko vodi tudi do izsiljevanja ali distribucije kompromitujoče vsebine. Poleg tega se lahko RATs uporabijo za pretvorbo okuženih naprav v del botneta, ki lahko sproži obsežne kibernetske napade, distribuira zlonamerno programsko opremo v druge sisteme ali izvaja kriminalne dejavnosti v imenu napadalca. Navsezadnje okužbe s podganami spodkopavajo zaupanje v digitalno okolje, spodkopavajo osebno varnost in imajo lahko dolgotrajne, hude posledice za posameznike, podjetja in celo države.
