Programari maliciós GHOSTPULSE
S'ha detectat una campanya d'atac cibernètic sigilós, que implica l'ús de fitxers falsos de paquets d'aplicacions de Windows MSIX per a programari conegut com Google Chrome, Microsoft Edge, Brave, Grammarly i Cisco Webex. Aquests fitxers no segurs s'estan utilitzant per difondre un nou tipus de carregador de programari maliciós anomenat GHOSTPULSE.
MSIX és un format de paquet d'aplicacions de Windows que els desenvolupadors poden utilitzar per empaquetar, distribuir i instal·lar el seu programari en sistemes Windows. Tanmateix, és important tenir en compte que la creació i l'ús de fitxers MSIX requereix l'accés a certificats de signatura de codi obtinguts legítimament o adquirits il·lícitament, cosa que fa que aquest mètode sigui especialment atractiu per a grups de pirates informàtics ben finançats i amb recursos.
Taula de continguts
Els atacants utilitzen diverses tàctiques d’atracció per lliurar el programari maliciós GHOSTPULSE
Segons els instal·ladors d'esquer utilitzats en aquest esquema, se sospita que les víctimes potencials són enganyades per descarregar els paquets MSIX mitjançant tècniques conegudes, com ara llocs web compromesos, intoxicació per l'optimització de motors de cerca (SEO) o publicitat fraudulenta (malvertising).
Quan s'executa el fitxer MSIX, apareix un missatge de Windows que demana als usuaris que facin clic al botó "Instal·la". En fer-ho, GHOSTPULSE es baixa silenciosament a l'amfitrió compromès des d'un servidor remot (concretament, 'manojsinghnegi[.]com') mitjançant un script de PowerShell.
Aquest procés es desenvolupa en diverses etapes, amb la càrrega útil inicial que és un fitxer d'arxiu TAR. Aquest arxiu conté un executable que es presenta com el servei Oracle VM VirtualBox (VBoxSVC.exe), però en realitat, és un binari legítim inclòs amb Notepad++ (gup.exe).
A més, a l'arxiu TAR, hi ha un fitxer anomenat handoff.wav i una versió trojanitzada de libcurl.dll. Aquest libcurl.dll alterat es carrega per avançar el procés d'infecció a l'etapa següent aprofitant una vulnerabilitat a gup.exe mitjançant la càrrega lateral de la DLL.
Les múltiples tècniques perjudicials implicades en la cadena d’infecció de programari maliciós GHOSTPULSE
L'script de PowerShell inicia l'execució del VBoxSVC.exe binari, que, al seu torn, es dedica a la càrrega lateral de la DLL carregant la DLL corrupta libcurl.dll des del directori actual. Aquest mètode permet a l'actor de l'amenaça minimitzar la presència al disc de codi maliciós xifrat, cosa que els permet evadir la detecció mitjançant un antivirus basat en fitxers i una exploració d'aprenentatge automàtic.
Després d'això, el fitxer DLL manipulat continua analitzant handoff.wav. Dins d'aquest fitxer d'àudio, s'amaga una càrrega útil xifrada, que posteriorment es descodifica i s'executa mitjançant mshtml.dll. Aquesta tècnica, coneguda com mòdul stomping, s'utilitza per llançar finalment GHOSTPULSE.
GHOSTPULSE funciona com a carregador i utilitza una altra tècnica anomenada process doppelgänging per iniciar l'execució del conjunt final de programari maliciós, que inclou SectopRAT , Rhadamanthys , Vidar, Lumma i NetSupport RAT .
Les conseqüències per a les víctimes d’atacs de programari maliciós poden ser greus
Una infecció de troià d'accés remot (RAT) té diverses conseqüències nefastes per als dispositius dels usuaris, la qual cosa la converteix en un dels tipus de programari maliciós més perillosos. En primer lloc, una RAT atorga accés i control no autoritzats a actors maliciosos, cosa que els permet observar, manipular i robar informació sensible del dispositiu infectat. Això inclou l'accés a fitxers personals, credencials d'inici de sessió, dades financeres i fins i tot la possibilitat de controlar i registrar les pulsacions de tecles, cosa que la converteix en una eina potent per al robatori d'identitat i l'espionatge. Aquestes activitats poden provocar pèrdues financeres, violacions de la privadesa i el compromís de dades personals i professionals.
A més, les infeccions per RAT poden tenir impactes devastadors en la privadesa i la seguretat dels usuaris. Els actors relacionats amb el frau poden utilitzar les RAT per activar càmeres web i micròfons, espiant de manera efectiva les víctimes a casa seva. Aquesta intrusió en els espais personals no només vulnera la privadesa sinó que també pot provocar xantatge o la distribució de contingut comprometedor. A més, les RAT es poden utilitzar per convertir els dispositius infectats en part d'una xarxa de bots, que pot llançar ciberatacs a gran escala, distribuir programari maliciós a altres sistemes o dur a terme activitats delictives en nom de l'atacant. En última instància, les infeccions per RAT soscaven la confiança en l'entorn digital, erosionen la seguretat personal i poden tenir conseqüències greus i duradores per a persones, empreses i fins i tot nacions.
