GHOSTPULSE Malware
Byla zjištěna tajná kampaň kybernetického útoku, která zahrnovala použití falešných souborů balíčků aplikací MSIX Windows pro známý software, jako je Google Chrome, Microsoft Edge, Brave, Grammarly a Cisco Webex. Tyto nebezpečné soubory se používají k šíření nového typu zavaděče malwaru s názvem GHOSTPULSE.
MSIX je formát balíčku aplikací pro Windows, který mohou vývojáři použít k balení, distribuci a instalaci svého softwaru v systémech Windows. Je však důležité poznamenat, že vytváření a používání souborů MSIX vyžaduje přístup k legitimně získaným nebo nezákonně získaným certifikátům pro podepisování kódu, díky čemuž je tato metoda obzvláště přitažlivá pro dobře financované a vynalézavé hackerské skupiny.
Obsah
Útočníci používají různé taktiky návnady k doručení malwaru GHOSTPULSE
Na základě instalátorů návnad používaných v tomto schématu existuje podezření, že potenciální oběti jsou uváděny v omyl, aby si stáhly balíčky MSIX pomocí dobře známých technik, včetně napadených webových stránek, otravy optimalizací pro vyhledávače (SEO) nebo podvodné reklamy (malvertising).
Po spuštění souboru MSIX se zobrazí výzva systému Windows, která uživatele vyzve, aby klikli na tlačítko 'Instalovat'. Poté se GHOSTPULSE tiše stáhne do kompromitovaného hostitele ze vzdáleného serveru (konkrétně 'manojsinghnegi[.]com') prostřednictvím skriptu PowerShell.
Tento proces probíhá v několika fázích, přičemž počátečním nákladem je archivní soubor TAR. Tento archiv obsahuje spustitelný soubor, který se tváří jako služba Oracle VM VirtualBox (VBoxSVC.exe), ale ve skutečnosti je to legitimní binární soubor s programem Notepad++ (gup.exe).
Kromě toho je v archivu TAR soubor s názvem handoff.wav a trojanizovaná verze libcurl.dll. Tato změněná knihovna libcurl.dll je načtena, aby postoupila proces infekce do další fáze využitím chyby zabezpečení v gup.exe prostřednictvím bočního načítání DLL.
Mnohonásobné škodlivé techniky zapojené do řetězce infekce malwaru GHOSTPULSE
Skript PowerShell zahájí spuštění binárního VBoxSVC.exe, který se zase zapojí do načítání knihovny DLL načtením poškozené knihovny DLL libcurl.dll z aktuálního adresáře. Tato metoda umožňuje aktérovi hrozby minimalizovat přítomnost šifrovaného škodlivého kódu na disku, což mu umožňuje vyhnout se detekci antivirovým programem založeným na souborech a skenováním pomocí strojového učení.
Poté manipulovaný soubor DLL pokračuje analýzou handoff.wav. V tomto zvukovém souboru je skryta zašifrovaná datová část, která je následně dekódována a spuštěna prostřednictvím mshtml.dll. Tato technika, známá jako modul dupání, se používá ke konečnému spuštění GHOSTPULSE.
GHOSTPULSE funguje jako zavaděč a využívá další techniku zvanou procesní doppelgänging k zahájení provádění konečné sady malwaru, která zahrnuje SectopRAT , Rhadamanthys , Vidar, Lumma a NetSupport RAT .
Důsledky pro oběti útoků malwaru mohou být vážné
Infekce trojského koně vzdáleného přístupu (RAT) má několik strašných důsledků pro zařízení uživatelů, což z ní činí jeden z nejnebezpečnějších typů malwaru. Za prvé, RAT uděluje neoprávněný přístup a kontrolu zlomyslným aktérům, což jim umožňuje skrytě sledovat, manipulovat a krást citlivé informace z infikovaného zařízení. To zahrnuje přístup k osobním souborům, přihlašovacím údajům, finančním údajům a dokonce i možnost sledovat a zaznamenávat stisknuté klávesy, což z něj činí účinný nástroj pro krádeže identity a špionáž. Tyto aktivity mohou vést k finančním ztrátám, narušení soukromí a ohrožení osobních a profesních údajů.
Navíc infekce RAT mohou mít zničující dopad na soukromí a bezpečnost uživatelů. Aktéři související s podvody mohou pomocí RAT zapínat webové kamery a mikrofony a efektivně tak špehovat oběti v jejich vlastních domovech. Tento zásah do osobních prostor nejen narušuje soukromí, ale může také vést k vydírání nebo šíření kompromitujícího obsahu. Kromě toho lze RAT použít k přeměně infikovaných zařízení na součást botnetu, který může spouštět rozsáhlé kybernetické útoky, distribuovat malware do jiných systémů nebo vykonávat kriminální aktivity jménem útočníka. Infekce RAT nakonec podkopávají důvěru v digitální prostředí, narušují osobní bezpečnost a mohou mít dlouhodobé a vážné důsledky pro jednotlivce, podniky a dokonce i národy.
