GHOSTPULSE Kötü Amaçlı Yazılım
Google Chrome, Microsoft Edge, Brave, Grammarly ve Cisco Webex gibi tanınmış yazılımlar için sahte MSIX Windows uygulama paketi dosyalarının kullanılmasını içeren gizli bir siber saldırı kampanyası tespit edildi. Bu güvenli olmayan dosyalar, GHOSTPULSE adı verilen yeni bir kötü amaçlı yazılım yükleyici türünü yaymak için kullanılıyor.
MSIX, geliştiricilerin yazılımlarını Windows sistemlerine paketlemek, dağıtmak ve yüklemek için kullanabileceği bir Windows uygulama paketi biçimidir. Bununla birlikte, MSIX dosyalarını oluşturmanın ve kullanmanın, yasal olarak elde edilen veya yasa dışı olarak elde edilen kod imzalama sertifikalarına erişim gerektirdiğini ve bu yöntemin özellikle iyi finanse edilen ve becerikli bilgisayar korsanı grupları için cazip hale geldiğini unutmamak önemlidir.
İçindekiler
Saldırganlar GHOSTPULSE Kötü Amaçlı Yazılımını Sunmak İçin Çeşitli Yem Taktikleri Kullanıyor
Bu şemada kullanılan yem yükleyicilere dayanarak, potansiyel kurbanların, güvenliği ihlal edilmiş web siteleri, Arama Motoru Optimizasyonu (SEO) zehirlenmesi veya hileli reklam (kötü amaçlı reklamcılık) dahil olmak üzere iyi bilinen teknikler kullanılarak MSIX paketlerini indirmeye yönlendirildiğinden şüpheleniliyor.
MSIX dosyası yürütüldüğünde, kullanıcıları 'Yükle' düğmesine tıklamaya teşvik eden bir Windows istemi görüntülenir. Bunu yaptıktan sonra GHOSTPULSE, bir PowerShell betiği aracılığıyla uzak bir sunucudan (özellikle 'manojsinghnegi[.]com') güvenliği ihlal edilmiş ana bilgisayara sessizce indirilir.
Bu süreç, ilk yükün bir TAR arşiv dosyası olmasıyla birden fazla aşamadan oluşur. Bu arşiv, Oracle VM VirtualBox hizmeti (VBoxSVC.exe) gibi görünen bir yürütülebilir dosya içerir, ancak gerçekte Notepad++ (gup.exe) ile birlikte gelen yasal bir ikili dosyadır.
Ayrıca TAR arşivinde handoff.wav adında bir dosya ve libcurl.dll dosyasının truva atı haline getirilmiş bir sürümü bulunmaktadır. Bu değiştirilmiş libcurl.dll, DLL tarafından yükleme yoluyla gup.exe'deki bir güvenlik açığından yararlanarak enfeksiyon sürecini bir sonraki aşamaya ilerletmek için yüklenir.
GHOSTPULSE Kötü Amaçlı Yazılım Bulaşma Zincirinde Yer Alan Çoklu Zararlı Teknikler
PowerShell betiği, VBoxSVC.exe ikili dosyasının yürütülmesini başlatır ve bu dosya, bozuk DLL libcurl.dll dosyasını geçerli dizinden yükleyerek DLL tarafından yandan yükleme işlemine başlar. Bu yöntem, tehdit aktörünün diskteki şifrelenmiş kötü amaçlı kod varlığını en aza indirmesine ve dosya tabanlı antivirüs ve makine öğrenimi taramasıyla tespit edilmekten kurtulmasına olanak tanır.
Bunu takiben manipüle edilen DLL dosyası handoff.wav'ı analiz ederek ilerler. Bu ses dosyasında şifrelenmiş bir veri gizlenir ve daha sonra kodu çözülür ve mshtml.dll aracılığıyla yürütülür. Modül durdurma olarak bilinen bu teknik, sonuçta GHOSTPULSE'ı başlatmak için kullanılır.
GHOSTPULSE bir yükleyici olarak işlev görür ve SectopRAT , Rhadamanthys , Vidar, Lumma ve NetSupport RAT'ı içeren son kötü amaçlı yazılım kümesinin yürütülmesini başlatmak için süreç doppelgänging adı verilen başka bir teknik kullanır.
Kötü Amaçlı Yazılım Saldırılarının Mağdurları İçin Sonuçları Ağır Olabilir
Uzaktan Erişim Truva Atı (RAT) enfeksiyonu, kullanıcıların cihazlarında çeşitli ciddi sonuçlar doğurur ve bu da onu en tehlikeli kötü amaçlı yazılım türlerinden biri haline getirir. İlk olarak RAT, kötü niyetli aktörlere yetkisiz erişim ve kontrol sağlayarak, virüs bulaşmış cihazdaki hassas bilgileri gizlice gözlemlemelerine, manipüle etmelerine ve çalmalarına olanak tanır. Bu, kişisel dosyalara, oturum açma kimlik bilgilerine, finansal verilere erişimi ve hatta tuş vuruşlarını izleme ve kaydetme yeteneğini de içerir; bu da onu kimlik hırsızlığı ve casusluk için güçlü bir araç haline getirir. Bu faaliyetler mali kayıplara, gizlilik ihlallerine ve kişisel ve mesleki verilerin tehlikeye atılmasına yol açabilir.
Ayrıca, RAT enfeksiyonlarının kullanıcı gizliliği ve güvenliği üzerinde yıkıcı etkileri olabilir. Dolandırıcılıkla ilgili aktörler, web kameralarını ve mikrofonları açmak için RAT'ları kullanabilir ve kurbanları kendi evlerinde etkili bir şekilde gözetleyebilirler. Kişisel alanlara bu şekilde izinsiz giriş, yalnızca gizliliği ihlal etmekle kalmaz, aynı zamanda şantaja veya uygunsuz içeriğin dağıtımına da yol açabilir. Ayrıca RAT'lar, virüs bulaşmış cihazları, büyük ölçekli siber saldırılar başlatabilen, kötü amaçlı yazılımları diğer sistemlere dağıtabilen veya saldırgan adına suç faaliyetleri gerçekleştirebilen bir botnet'in parçası haline getirmek için kullanılabilir. Sonuçta RAT enfeksiyonları dijital ortama olan güveni zayıflatır, kişisel güvenliği aşındırır ve bireyler, işletmeler ve hatta ülkeler için uzun süreli, ciddi sonuçlar doğurabilir.
