Giảm giá nhiều giấy phép
Threat Database Malware GHOSTPULSE Malware

GHOSTPULSE Malware

Đến năm Mezo năm Malware
Dịch sang:
Tiếng Việt Nam

Một chiến dịch tấn công mạng lén lút đã bị phát hiện, liên quan đến việc sử dụng các tệp gói ứng dụng MSIX Windows giả mạo cho các phần mềm nổi tiếng như Google Chrome, Microsoft Edge, Brave, Grammarly và Cisco Webex. Những tệp không an toàn này đang được sử dụng để phổ biến một loại trình tải phần mềm độc hại mới có tên là GHOSTPULSE.

MSIX là định dạng gói ứng dụng Windows mà các nhà phát triển có thể sử dụng để đóng gói, phân phối và cài đặt phần mềm của họ trên hệ thống Windows. Tuy nhiên, điều quan trọng cần lưu ý là việc tạo và sử dụng tệp MSIX đòi hỏi phải có quyền truy cập vào các chứng chỉ ký mã được lấy một cách hợp pháp hoặc bất hợp pháp, khiến phương pháp này đặc biệt hấp dẫn đối với các nhóm tin tặc có tài chính dồi dào và tháo vát.

Những kẻ tấn công sử dụng nhiều chiến thuật thu hút khác nhau để phát tán phần mềm độc hại GHOSTPULSE

Dựa trên các trình cài đặt mồi nhử được sử dụng trong kế hoạch này, người ta nghi ngờ rằng các nạn nhân tiềm năng đã bị lừa tải xuống các gói MSIX bằng các kỹ thuật nổi tiếng, bao gồm các trang web bị xâm nhập, đầu độc Tối ưu hóa Công cụ Tìm kiếm (SEO) hoặc quảng cáo gian lận (quảng cáo độc hại).

Khi tệp MSIX được thực thi, lời nhắc của Windows sẽ xuất hiện, thúc giục người dùng nhấp vào nút 'Cài đặt'. Khi làm như vậy, GHOSTPULSE được âm thầm tải xuống máy chủ bị xâm nhập từ một máy chủ từ xa (cụ thể là 'manojsinghnegi[.]com') thông qua tập lệnh PowerShell.

Quá trình này diễn ra qua nhiều giai đoạn, với tải trọng ban đầu là tệp lưu trữ TAR. Kho lưu trữ này chứa một tệp thực thi được coi là dịch vụ Oracle VM VirtualBox (VBoxSVC.exe), nhưng trên thực tế, đó là một tệp nhị phân hợp pháp đi kèm với Notepad++ (gup.exe).

Ngoài ra, trong kho lưu trữ TAR, có một tệp có tên handoff.wav và một phiên bản libcurl.dll bị nhiễm trojan. libcurl.dll đã thay đổi này được tải để chuyển quá trình lây nhiễm sang giai đoạn tiếp theo bằng cách khai thác lỗ hổng trong gup.exe thông qua tải bên DLL.

Nhiều kỹ thuật có hại liên quan đến chuỗi lây nhiễm phần mềm độc hại GHOSTPULSE

Tập lệnh PowerShell bắt đầu thực thi tệp nhị phân VBoxSVC.exe, sau đó, tệp này tham gia vào quá trình tải phụ DLL bằng cách tải DLL libcurl.dll bị hỏng từ thư mục hiện tại. Phương pháp này cho phép tác nhân đe dọa giảm thiểu sự hiện diện trên ổ đĩa của mã độc được mã hóa, cho phép chúng tránh bị phát hiện bằng cách quét virus dựa trên tệp và quét máy học.

Sau đó, tệp DLL bị thao túng sẽ tiến hành phân tích handoff.wav. Trong tệp âm thanh này, một tải trọng được mã hóa sẽ bị ẩn, sau đó được giải mã và thực thi thông qua mshtml.dll. Kỹ thuật này, được gọi là dập mô-đun, cuối cùng được sử dụng để khởi chạy GHOSTPULSE.

GHOSTPULSE hoạt động như một trình tải và sử dụng một kỹ thuật khác gọi là tiến trình doppelgänging để bắt đầu thực thi nhóm phần mềm độc hại cuối cùng, bao gồm SectopRAT , Rhadamanthys , Vidar, LummaNetSupport RAT .

Hậu quả đối với nạn nhân của các cuộc tấn công phần mềm độc hại có thể nghiêm trọng

Việc lây nhiễm Trojan truy cập từ xa (RAT) gây ra một số hậu quả nghiêm trọng cho thiết bị của người dùng, khiến nó trở thành một trong những loại phần mềm độc hại nguy hiểm nhất. Đầu tiên, RAT cấp quyền truy cập và kiểm soát trái phép cho các tác nhân độc hại, cho phép chúng bí mật quan sát, thao túng và đánh cắp thông tin nhạy cảm từ thiết bị bị nhiễm. Điều này bao gồm quyền truy cập vào các tệp cá nhân, thông tin đăng nhập, dữ liệu tài chính và thậm chí cả khả năng giám sát và ghi lại các lần gõ phím, khiến nó trở thành một công cụ mạnh mẽ để đánh cắp danh tính và gián điệp. Những hoạt động này có thể dẫn đến tổn thất tài chính, vi phạm quyền riêng tư và xâm phạm dữ liệu cá nhân và nghề nghiệp.

Hơn nữa, việc lây nhiễm RAT có thể có tác động nghiêm trọng đến quyền riêng tư và bảo mật của người dùng. Những kẻ liên quan đến lừa đảo có thể sử dụng RAT để bật webcam và micrô, theo dõi nạn nhân tại nhà riêng của họ một cách hiệu quả. Việc xâm nhập vào không gian cá nhân này không chỉ vi phạm quyền riêng tư mà còn có thể dẫn đến hành vi tống tiền hoặc phát tán nội dung xâm phạm. Ngoài ra, RAT có thể được sử dụng để biến các thiết bị bị nhiễm thành một phần của mạng botnet, có thể khởi động các cuộc tấn công mạng quy mô lớn, phân phối phần mềm độc hại đến các hệ thống khác hoặc thực hiện các hoạt động tội phạm thay mặt cho kẻ tấn công. Cuối cùng, việc lây nhiễm RAT làm suy yếu niềm tin vào môi trường kỹ thuật số, làm xói mòn sự an toàn cá nhân và có thể gây ra hậu quả nghiêm trọng, lâu dài cho các cá nhân, doanh nghiệp và thậm chí cả các quốc gia.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
20,114
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...