GHOSTPULSE Malware
May nakitang palihim na cyberattack campaign, na kinasasangkutan ng paggamit ng mga pekeng MSIX Windows application package file para sa kilalang software tulad ng Google Chrome, Microsoft Edge, Brave, Grammarly at Cisco Webex. Ang mga hindi ligtas na file na ito ay ginagamit upang magpakalat ng bagong uri ng malware loader na tinatawag na GHOSTPULSE.
Ang MSIX ay isang format ng pakete ng aplikasyon ng Windows na maaaring gamitin ng mga developer upang mag-package, ipamahagi, at i-install ang kanilang software sa mga Windows system. Gayunpaman, mahalagang tandaan na ang paggawa at paggamit ng mga MSIX na file ay nangangailangan ng access sa mga lehitimong nakuha o ipinagbabawal na pagkuha ng mga sertipiko ng pag-sign ng code, na ginagawang partikular na nakakaakit ang pamamaraang ito sa mahusay na pinondohan at mapamaraang mga grupo ng hacker.
Talaan ng mga Nilalaman
Gumagamit ang mga Attacker ng Iba’t ibang Taktika sa Pag-akit upang Ihatid ang GHOSTPULSE Malware
Batay sa mga installer ng pain na ginamit sa scheme na ito, pinaghihinalaan na ang mga potensyal na biktima ay nalinlang upang i-download ang mga pakete ng MSIX gamit ang mga kilalang diskarte, kabilang ang mga nakompromisong website, pagkalason sa Search Engine Optimization (SEO), o mapanlinlang na advertising (malvertising).
Kapag naisakatuparan ang MSIX file, may lalabas na prompt ng Windows, na humihimok sa mga user na i-click ang button na 'I-install'. Sa paggawa nito, tahimik na dina-download ang GHOSTPULSE sa nakompromisong host mula sa isang malayuang server (partikular, 'manojsinghnegi[.]com') sa pamamagitan ng isang PowerShell script.
Ang prosesong ito ay nagbubukas sa maraming yugto, na ang paunang kargamento ay isang TAR archive file. Ang archive na ito ay naglalaman ng isang executable na nagpapanggap bilang serbisyo ng Oracle VM VirtualBox (VBoxSVC.exe), ngunit sa katotohanan, ito ay isang lehitimong binary na kasama ng Notepad++ (gup.exe).
Bukod pa rito, sa loob ng TAR archive, mayroong isang file na pinangalanang handoff.wav at isang trojanized na bersyon ng libcurl.dll. Ang binagong libcurl.dll na ito ay na-load upang isulong ang proseso ng impeksyon sa susunod na yugto sa pamamagitan ng pagsasamantala sa isang kahinaan sa gup.exe sa pamamagitan ng DLL side-loading.
Ang Maramihan, Mapanganib na Mga Teknik na Kasangkot sa GHOSTULSE Malware Infection Chain
Sinisimulan ng script ng PowerShell ang pagpapatupad ng binary na VBoxSVC.exe, na, sa turn, ay nagsasagawa ng side-loading ng DLL sa pamamagitan ng paglo-load ng sirang DLL libcurl.dll mula sa kasalukuyang direktoryo. Ang pamamaraang ito ay nagbibigay-daan sa banta ng aktor na i-minimize ang on-disk presence ng naka-encrypt na malisyosong code, na nagbibigay-daan sa kanila na makaiwas sa pagtuklas sa pamamagitan ng file-based na antivirus at machine learning scanning.
Kasunod nito, magpapatuloy ang manipuladong DLL file sa pamamagitan ng pagsusuri sa handoff.wav. Sa loob ng audio file na ito, nakatago ang isang naka-encrypt na payload, na kasunod na nade-decode at isinasagawa sa pamamagitan ng mshtml.dll. Ang diskarteng ito, na kilala bilang module stomping, ay ginagamit upang ilunsad ang GHOSTPUSE sa huli.
Gumagana ang GHOSTPULSE bilang isang loader at gumagamit ng isa pang pamamaraan na tinatawag na process doppelgänging upang simulan ang pagpapatupad ng huling hanay ng malware, na kinabibilangan ng SectopRAT , Rhadamanthys , Vidar, Lumma at ang NetSupport RAT .
Ang mga kahihinatnan para sa mga biktima ng Malware Attacks ay maaaring Matindi
Ang impeksyon sa Remote Access Trojan (RAT) ay nagdudulot ng ilang kakila-kilabot na kahihinatnan sa mga device ng mga user, na ginagawa itong isa sa mga pinaka-mapanganib na uri ng malware. Una, ang isang RAT ay nagbibigay ng hindi awtorisadong pag-access at kontrol sa mga malisyosong aktor, na nagbibigay-daan sa kanila na palihim na obserbahan, manipulahin, at magnakaw ng sensitibong impormasyon mula sa nahawaang device. Kabilang dito ang pag-access sa mga personal na file, mga kredensyal sa pag-log in, data sa pananalapi, at maging ang kakayahang subaybayan at i-record ang mga keystroke, na ginagawa itong isang mabisang tool para sa pagnanakaw ng pagkakakilanlan at espiya. Ang mga aktibidad na ito ay maaaring humantong sa mga pagkalugi sa pananalapi, mga paglabag sa privacy, at ang kompromiso ng personal at propesyonal na data.
Higit pa rito, ang mga impeksyon sa RAT ay maaaring magkaroon ng mapangwasak na epekto sa privacy at seguridad ng user. Maaaring gumamit ng mga RAT ang mga aktor na nauugnay sa panloloko upang i-on ang mga webcam at mikropono, na epektibong nag-espiya sa mga biktima sa kanilang sariling mga tahanan. Ang panghihimasok na ito sa mga personal na espasyo ay hindi lamang lumalabag sa privacy ngunit maaari ring humantong sa blackmail o pamamahagi ng nakakompromisong nilalaman. Bukod pa rito, maaaring gamitin ang mga RAT upang gawing bahagi ng botnet ang mga nahawaang device, na maaaring maglunsad ng malakihang cyberattacks, mamahagi ng malware sa iba pang mga system, o magsagawa ng mga aktibidad na kriminal sa ngalan ng umaatake. Sa huli, ang mga impeksyon sa RAT ay sumisira sa tiwala sa digital na kapaligiran, nakakasira ng personal na kaligtasan, at maaaring magkaroon ng pangmatagalan, malubhang kahihinatnan para sa mga indibidwal, negosyo, at maging sa mga bansa.
