Malware GHOSTPULSE
È stata rilevata una campagna di attacco informatico furtivo, che prevede l'uso di file di pacchetti di applicazioni Windows MSIX falsi per software noti come Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex. Questi file non sicuri vengono utilizzati per diffondere un nuovo tipo di caricatore di malware chiamato GHOSTPULSE.
MSIX è un formato di pacchetto di applicazioni Windows che gli sviluppatori possono utilizzare per creare pacchetti, distribuire e installare il proprio software su sistemi Windows. Tuttavia, è importante notare che la creazione e l'utilizzo di file MSIX richiede l'accesso a certificati di firma del codice ottenuti legittimamente o illecitamente, rendendo questo metodo particolarmente attraente per i gruppi di hacker ben finanziati e pieni di risorse.
Sommario
Gli aggressori utilizzano varie tattiche di esca per diffondere il malware GHOSTPULSE
Sulla base degli installatori esca utilizzati in questo schema, si sospetta che le potenziali vittime vengano indotte in errore a scaricare i pacchetti MSIX utilizzando tecniche ben note, inclusi siti Web compromessi, avvelenamento da motore di ricerca (SEO) o pubblicità fraudolenta (malvertising).
Quando il file MSIX viene eseguito, viene visualizzato un messaggio di Windows che invita gli utenti a fare clic sul pulsante "Installa". In tal modo, GHOSTPULSE viene scaricato silenziosamente sull'host compromesso da un server remoto (in particolare, "manojsinghnegi[.]com") tramite uno script PowerShell.
Questo processo si svolge in più fasi, con il carico utile iniziale che è un file di archivio TAR. Questo archivio contiene un eseguibile che si spaccia per il servizio Oracle VM VirtualBox (VBoxSVC.exe), ma in realtà è un file binario legittimo in bundle con Notepad++ (gup.exe).
Inoltre, all'interno dell'archivio TAR, è presente un file denominato handoff.wav e una versione con trojan di libcurl.dll. Questo libcurl.dll modificato viene caricato per far avanzare il processo di infezione alla fase successiva sfruttando una vulnerabilità in gup.exe tramite il caricamento laterale della DLL.
Le molteplici tecniche dannose coinvolte nella catena di infezione del malware GHOSTPULSE
Lo script PowerShell avvia l'esecuzione del binario VBoxSVC.exe, che, a sua volta, si impegna nel caricamento laterale della DLL caricando la DLL danneggiata libcurl.dll dalla directory corrente. Questo metodo consente all'autore della minaccia di ridurre al minimo la presenza sul disco di codice dannoso crittografato, consentendogli di eludere il rilevamento tramite antivirus basato su file e scansione con apprendimento automatico.
Successivamente, il file DLL manipolato procede analizzando handoff.wav. All'interno di questo file audio è nascosto un payload crittografato, che viene successivamente decodificato ed eseguito tramite mshtml.dll. Questa tecnica, nota come module stomping, viene utilizzata per lanciare GHOSTPULSE alla fine.
GHOSTPULSE funziona come un caricatore e impiega un'altra tecnica chiamata doppelgänging del processo per avviare l'esecuzione del set finale di malware, che include SectopRAT , Rhadamanthys , Vidar, Lumma e NetSupport RAT .
Le conseguenze per le vittime di attacchi malware potrebbero essere gravi
Un'infezione da Trojan di accesso remoto (RAT) pone diverse conseguenze disastrose sui dispositivi degli utenti, rendendolo uno dei tipi di malware più pericolosi. In primo luogo, un RAT garantisce accesso e controllo non autorizzati ad attori malintenzionati, consentendo loro di osservare, manipolare e rubare di nascosto informazioni sensibili dal dispositivo infetto. Ciò include l'accesso a file personali, credenziali di accesso, dati finanziari e persino la possibilità di monitorare e registrare le sequenze di tasti, rendendolo un potente strumento per il furto di identità e lo spionaggio. Queste attività possono portare a perdite finanziarie, violazioni della privacy e compromissione di dati personali e professionali.
Inoltre, le infezioni RAT possono avere effetti devastanti sulla privacy e sulla sicurezza degli utenti. Gli autori legati alle frodi possono utilizzare i RAT per accendere webcam e microfoni, spiando efficacemente le vittime nelle loro stesse case. Questa intrusione negli spazi personali non solo viola la privacy ma può anche portare al ricatto o alla distribuzione di contenuti compromettenti. Inoltre, i RAT possono essere utilizzati per trasformare i dispositivi infetti in parte di una botnet, che può lanciare attacchi informatici su larga scala, distribuire malware ad altri sistemi o svolgere attività criminali per conto dell’aggressore. In definitiva, le infezioni da RAT minano la fiducia nell’ambiente digitale, minano la sicurezza personale e possono avere conseguenze gravi e durature per individui, aziende e persino nazioni.
