GHOSTPULSE Malware
Откривена је прикривена кампања сајбер напада, која укључује употребу лажних датотека пакета МСИКС Виндовс апликација за добро познати софтвер као што су Гоогле Цхроме, Мицрософт Едге, Браве, Граммарли и Цисцо Вебек. Ове несигурне датотеке се користе за ширење новог типа учитавача малвера под називом ГХОСТПУЛСЕ.
МСИКС је формат Виндовс апликацијског пакета који програмери могу користити за паковање, дистрибуцију и инсталирање свог софтвера на Виндовс системе. Међутим, важно је напоменути да креирање и коришћење МСИКС датотека захтева приступ легитимно добијеним или незаконито стеченим сертификатима за потписивање кода, што овај метод чини посебно привлачним за добро финансиране и сналажљиве групе хакера.
Преглед садржаја
Нападачи користе различите тактике мамљења да испоруче ГХОСТПУЛСЕ малвер
На основу инсталатера мамаца који се користе у овој шеми, сумња се да су потенцијалне жртве доведене у заблуду да преузму МСИКС пакете користећи добро познате технике, укључујући компромитоване веб странице, тровање оптимизацијом претраживача (СЕО) или лажно оглашавање (малвертисинг).
Када се МСИКС датотека изврши, појављује се Виндовс промпт који позива кориснике да кликну на дугме „Инсталирај“. Након тога, ГХОСТПУЛСЕ се тихо преузима на компромитовани хост са удаљеног сервера (конкретно, 'манојсингхнеги[.]цом') преко ПоверСхелл скрипте.
Овај процес се одвија у више фаза, при чему је почетни корисни терет ТАР архивска датотека. Ова архива садржи извршни фајл који се представља као Орацле ВМ ВиртуалБок услуга (ВБокСВЦ.еке), али у стварности, то је легитимна бинарна датотека у пакету са Нотепад++ (гуп.еке).
Поред тога, унутар ТАР архиве, постоји датотека под називом хандофф.вав и тројанизована верзија либцурл.длл. Ова измењена либцурл.длл се учитава да би се процес инфекције прешао у следећу фазу искоришћавањем рањивости у гуп.еке кроз ДЛЛ бочно учитавање.
Вишеструке, штетне технике укључене у ланац заразе малвером ГХОСТПУЛСЕ
ПоверСхелл скрипта покреће извршавање бинарног ВБокСВЦ.еке, који се заузврат укључује у бочно учитавање ДЛЛ-а учитавањем оштећене ДЛЛ либцурл.длл из тренутног директоријума. Овај метод омогућава актеру претње да минимизира присуство шифрованог злонамерног кода на диску, омогућавајући им да избегну откривање антивирусним програмом заснованим на датотекама и скенирањем машинског учења.
Након тога, манипулисана ДЛЛ датотека се наставља анализом хандофф.вав. Унутар ове аудио датотеке, скривено је шифровано оптерећење, које се затим декодира и извршава преко мсхтмл.длл. Ова техника, позната као модулирање, користи се за коначно покретање ГХОСТПУЛСЕ-а.
ГХОСТПУЛСЕ функционише као учитавач и користи другу технику која се зове процес доппелгангинга за покретање извршења коначног скупа малвера, који укључује СецтопРАТ , Рхадамантхис , Видар, Лумма и НетСуппорт РАТ .
Последице за жртве напада злонамерног софтвера могу бити озбиљне
Инфекција Тројанцем за даљински приступ (РАТ) има неколико страшних последица за уређаје корисника, што га чини једном од најопаснијих врста малвера. Прво, РАТ омогућава неовлашћени приступ и контролу злонамерним актерима, омогућавајући им да прикривено посматрају, манипулишу и краду осетљиве информације са зараженог уређаја. Ово укључује приступ личним датотекама, акредитивима за пријаву, финансијским подацима, па чак и могућност праћења и снимања притисака на тастере, што га чини моћним алатом за крађу идентитета и шпијунажу. Ове активности могу довести до финансијских губитака, кршења приватности и угрожавања личних и професионалних података.
Штавише, РАТ инфекције могу имати разорне утицаје на приватност и безбедност корисника. Актери повезани са преварама могу да користе РАТ-ове да укључе веб камере и микрофоне, ефикасно шпијунирајући жртве у њиховим домовима. Овај упад у лични простор не само да нарушава приватност, већ може довести и до уцене или дистрибуције компромитујућег садржаја. Поред тога, РАТ-ови се могу користити за претварање заражених уређаја у део ботнета, који може покренути велике сајбер нападе, дистрибуирати малвер другим системима или вршити криминалне активности у име нападача. На крају крајева, РАТ инфекције поткопавају поверење у дигитално окружење, нарушавају личну безбедност и могу имати дуготрајне, тешке последице по појединце, предузећа, па чак и нације.
