Perisian Hasad GHOSTULSE
Kempen serangan siber yang tersembunyi telah dikesan, melibatkan penggunaan fail pakej aplikasi MSIX Windows palsu untuk perisian terkenal seperti Google Chrome, Microsoft Edge, Brave, Grammarly dan Cisco Webex. Fail tidak selamat ini digunakan untuk menyebarkan jenis pemuat perisian hasad baharu yang dipanggil GHOSTPULSE.
MSIX ialah format pakej aplikasi Windows yang boleh digunakan oleh pembangun untuk membungkus, mengedar dan memasang perisian mereka pada sistem Windows. Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa mencipta dan menggunakan fail MSIX memerlukan akses kepada sijil menandatangani kod yang diperoleh secara sah atau diperoleh secara haram, menjadikan kaedah ini sangat menarik kepada kumpulan penggodam yang dibiayai dengan baik dan bijak.
Isi kandungan
Penyerang Menggunakan Pelbagai Taktik Gewang untuk Menyampaikan Perisian Hasad GHOSTPULSE
Berdasarkan pemasang umpan yang digunakan dalam skim ini, disyaki bakal mangsa diperdaya untuk memuat turun pakej MSIX menggunakan teknik yang terkenal, termasuk tapak web yang terjejas, keracunan Pengoptimuman Enjin Carian (SEO) atau pengiklanan palsu (malvertising).
Apabila fail MSIX dilaksanakan, gesaan Windows muncul, menggesa pengguna untuk mengklik butang 'Pasang'. Selepas berbuat demikian, GHOSTPULSE dimuat turun secara senyap ke hos yang terjejas daripada pelayan jauh (khususnya, 'manojsinghnegi[.]com') melalui skrip PowerShell.
Proses ini berlaku merentasi pelbagai peringkat, dengan muatan awal ialah fail arkib TAR. Arkib ini mengandungi boleh laku yang menyamar sebagai perkhidmatan Oracle VM VirtualBox (VBoxSVC.exe), tetapi sebenarnya, ia adalah binari yang sah yang digabungkan dengan Notepad++ (gup.exe).
Selain itu, dalam arkib TAR, terdapat fail bernama handoff.wav dan versi trojan libcurl.dll. libcurl.dll yang diubah ini dimuatkan untuk memajukan proses jangkitan ke peringkat seterusnya dengan mengeksploitasi kelemahan dalam gup.exe melalui pemuatan sisi DLL.
Pelbagai Teknik Memudaratkan yang Terlibat dalam Rantaian Jangkitan Perisian Hasad GHOSTPULSE
Skrip PowerShell memulakan pelaksanaan perduaan VBoxSVC.exe, yang seterusnya, terlibat dalam pemuatan sisi DLL dengan memuatkan libcurl.dll DLL yang rosak daripada direktori semasa. Kaedah ini membenarkan pelaku ancaman untuk meminimumkan kehadiran pada cakera kod hasad yang disulitkan, membolehkan mereka mengelak pengesanan oleh antivirus berasaskan fail dan pengimbasan pembelajaran mesin.
Berikutan ini, fail DLL yang dimanipulasi diteruskan dengan menganalisis handoff.wav. Dalam fail audio ini, muatan yang disulitkan disembunyikan, yang kemudiannya dinyahkod dan dilaksanakan melalui mshtml.dll. Teknik ini, yang dikenali sebagai hentak modul, digunakan untuk melancarkan GHOSTPULSE akhirnya.
GHOSTPULSE berfungsi sebagai pemuat dan menggunakan teknik lain yang dipanggil proses doppelgänging untuk memulakan pelaksanaan set terakhir perisian hasad, yang termasuk SectopRAT , Rhadamanthys , Vidar, Lumma dan NetSupport RAT .
Akibat bagi Mangsa Serangan Perisian Hasad mungkin Teruk
Jangkitan Trojan Akses Jauh (RAT) menimbulkan beberapa akibat buruk kepada peranti pengguna, menjadikannya salah satu jenis perisian hasad yang paling berbahaya. Pertama, RAT memberikan akses dan kawalan yang tidak dibenarkan kepada pelakon yang berniat jahat, membolehkan mereka memerhati, memanipulasi dan mencuri maklumat sensitif secara rahsia daripada peranti yang dijangkiti. Ini termasuk akses kepada fail peribadi, bukti kelayakan log masuk, data kewangan, dan juga keupayaan untuk memantau dan merekod ketukan kekunci, menjadikannya alat yang ampuh untuk kecurian identiti dan pengintipan. Aktiviti ini boleh menyebabkan kerugian kewangan, pelanggaran privasi dan kompromi data peribadi dan profesional.
Tambahan pula, jangkitan RAT boleh memberi kesan buruk terhadap privasi dan keselamatan pengguna. Pelakon yang berkaitan dengan penipuan boleh menggunakan RAT untuk menghidupkan kamera web dan mikrofon, dengan berkesan mengintip mangsa di rumah mereka sendiri. Pencerobohan ke dalam ruang peribadi ini bukan sahaja melanggar privasi tetapi juga boleh membawa kepada pemerasan atau pengedaran kandungan yang menjejaskan. Selain itu, RAT boleh digunakan untuk menukar peranti yang dijangkiti menjadi sebahagian daripada botnet, yang boleh melancarkan serangan siber berskala besar, mengedarkan perisian hasad kepada sistem lain atau menjalankan aktiviti jenayah bagi pihak penyerang. Akhirnya, jangkitan RAT menjejaskan kepercayaan dalam persekitaran digital, menghakis keselamatan peribadi, dan boleh membawa akibat yang teruk dan berpanjangan kepada individu, perniagaan dan juga negara.
