Шкідливе програмне забезпечення GHOSTPULSE
Було виявлено кампанію прихованої кібератаки, яка передбачає використання підроблених файлів пакетів програм MSIX Windows для відомого програмного забезпечення, як-от Google Chrome, Microsoft Edge, Brave, Grammarly і Cisco Webex. Ці небезпечні файли використовуються для поширення нового типу завантажувача шкідливих програм під назвою GHOSTPULSE.
MSIX — це формат пакета програм Windows, який розробники можуть використовувати для упаковки, розповсюдження та встановлення свого програмного забезпечення в системах Windows. Однак важливо зазначити, що для створення та використання файлів MSIX необхідний доступ до законно отриманих або незаконно отриманих сертифікатів підпису коду, що робить цей метод особливо привабливим для добре фінансованих і винахідливих груп хакерів.
Зміст
Зловмисники використовують різні тактики спокуси, щоб доставити шкідливу програму GHOSTPULSE
Виходячи з інсталяторів приманок, які використовуються в цій схемі, існує підозра, що потенційні жертви введені в оману для завантаження пакетів MSIX за допомогою добре відомих методів, включаючи скомпрометовані веб-сайти, пошукову оптимізацію (SEO) або шахрайську рекламу (зловмисну рекламу).
Коли файл MSIX виконується, з’являється підказка Windows із проханням натиснути кнопку «Встановити». Після цього GHOSTPULSE мовчки завантажується на скомпрометований хост із віддаленого сервера (зокрема, 'manojsinghnegi[.]com') за допомогою сценарію PowerShell.
Цей процес розгортається в кілька етапів, причому початковим корисним навантаженням є файл архіву TAR. Цей архів містить виконуваний файл, який представляє собою службу Oracle VM VirtualBox (VBoxSVC.exe), але насправді це законний двійковий файл у комплекті з Notepad++ (gup.exe).
Крім того, в архіві TAR є файл під назвою handoff.wav і троянська версія libcurl.dll. Цей змінений libcurl.dll завантажується для переходу процесу зараження до наступного етапу, використовуючи вразливість у gup.exe за допомогою бокового завантаження DLL.
Численні шкідливі методи, задіяні в ланцюжку зараження зловмисним програмним забезпеченням GHOSTPULSE
Сценарій PowerShell ініціює виконання двійкового VBoxSVC.exe, який, у свою чергу, бере участь у боковому завантаженні DLL, завантажуючи пошкоджену DLL libcurl.dll із поточного каталогу. Цей метод дозволяє зловмиснику мінімізувати присутність на диску зашифрованого зловмисного коду, дозволяючи йому уникнути виявлення файловим антивірусом і скануванням машинного навчання.
Після цього оброблений файл DLL продовжує аналіз handoff.wav. У цьому аудіофайлі приховано зашифроване корисне навантаження, яке згодом декодується та виконується через mshtml.dll. Ця техніка, відома як тупотіння модуля, використовується для остаточного запуску GHOSTPULSE.
GHOSTPULSE функціонує як завантажувач і використовує іншу техніку, яка називається двоїнням процесів, щоб ініціювати виконання остаточного набору зловмисного програмного забезпечення, яке включає SectopRAT , Rhadamanthys , Vidar, Lumma та NetSupport RAT .
Наслідки для жертв атак шкідливих програм можуть бути серйозними
Троян віддаленого доступу (RAT) створює кілька жахливих наслідків для пристроїв користувачів, що робить його одним із найнебезпечніших типів зловмисного програмного забезпечення. По-перше, RAT надає несанкціонований доступ і контроль зловмисникам, дозволяючи їм таємно спостерігати, маніпулювати та викрадати конфіденційну інформацію з зараженого пристрою. Це включає доступ до особистих файлів, облікові дані для входу, фінансові дані та навіть можливість відстежувати та записувати натискання клавіш, що робить його потужним інструментом для крадіжки особистих даних і шпигунства. Ці дії можуть призвести до фінансових втрат, порушення конфіденційності та компрометації особистих і професійних даних.
Крім того, зараження RAT може мати руйнівний вплив на конфіденційність і безпеку користувачів. Актори, пов’язані з шахрайством, можуть використовувати RAT, щоб увімкнути веб-камери та мікрофони, ефективно шпигуючи за жертвами в їхніх власних домівках. Таке вторгнення в особистий простір не лише порушує конфіденційність, але й може призвести до шантажу чи розповсюдження компрометуючого контенту. Крім того, RAT можна використовувати для перетворення заражених пристроїв на частину ботнету, який може запускати масштабні кібератаки, поширювати шкідливе програмне забезпечення в інші системи або здійснювати злочинну діяльність від імені зловмисника. Зрештою, зараження RAT підриває довіру до цифрового середовища, розмиває особисту безпеку та може мати довготривалі серйозні наслідки для окремих людей, підприємств і навіть країн.
