Złośliwe oprogramowanie GHOSTPULSE
Wykryto ukrytą kampanię cyberataków polegającą na wykorzystaniu fałszywych plików pakietów aplikacji MSIX Windows dla dobrze znanych programów, takich jak Google Chrome, Microsoft Edge, Brave, Grammarly i Cisco Webex. Te niebezpieczne pliki są wykorzystywane do rozpowszechniania nowego typu modułu ładującego złośliwe oprogramowanie o nazwie GHOSTPULSE.
MSIX to format pakietu aplikacji dla systemu Windows, którego programiści mogą używać do pakowania, dystrybucji i instalowania oprogramowania w systemach Windows. Należy jednak pamiętać, że tworzenie i używanie plików MSIX wymaga dostępu do legalnie lub nielegalnie uzyskanych certyfikatów do podpisywania kodu, co czyni tę metodę szczególnie atrakcyjną dla dobrze finansowanych i zaradnych grup hakerów.
Spis treści
Atakujący stosują różne taktyki wabienia, aby dostarczyć złośliwe oprogramowanie GHOSTPULSE
Na podstawie instalatorów przynęt używanych w tym schemacie podejrzewa się, że potencjalne ofiary są wprowadzane w błąd w celu pobrania pakietów MSIX przy użyciu dobrze znanych technik, w tym zaatakowanych witryn internetowych, zatruwania optymalizacji pod kątem wyszukiwarek (SEO) lub oszukańczych reklam (złośliwych reklam).
Po uruchomieniu pliku MSIX pojawia się monit systemu Windows zachęcający użytkowników do kliknięcia przycisku „Zainstaluj”. Po wykonaniu tej czynności GHOSTPULSE jest po cichu pobierany na zaatakowany host ze zdalnego serwera (w szczególności „manojsinghnegi[.]com”) za pośrednictwem skryptu PowerShell.
Proces ten przebiega wieloetapowo, a początkowym ładunkiem jest plik archiwum TAR. To archiwum zawiera plik wykonywalny udający usługę Oracle VM VirtualBox (VBoxSVC.exe), ale w rzeczywistości jest to legalny plik binarny dołączony do Notepad++ (gup.exe).
Dodatkowo w archiwum TAR znajduje się plik o nazwie handoff.wav i trojanizowana wersja libcurl.dll. Ta zmieniona biblioteka libcurl.dll jest ładowana w celu przejścia procesu infekcji do następnego etapu poprzez wykorzystanie luki w zabezpieczeniach pliku gup.exe poprzez boczne ładowanie biblioteki DLL.
Liczne, szkodliwe techniki stosowane w łańcuchu infekcji złośliwym oprogramowaniem GHOSTPULSE
Skrypt PowerShell inicjuje wykonanie pliku binarnego VBoxSVC.exe, który z kolei angażuje się w boczne ładowanie biblioteki DLL poprzez ładowanie uszkodzonej biblioteki DLL libcurl.dll z bieżącego katalogu. Metoda ta pozwala podmiotowi zagrażającemu zminimalizować obecność na dysku zaszyfrowanego złośliwego kodu, umożliwiając mu uniknięcie wykrycia przez skanowanie antywirusowe oparte na plikach i uczenie maszynowe.
Następnie zmanipulowany plik DLL analizuje handoff.wav. W tym pliku audio ukryty jest zaszyfrowany ładunek, który jest następnie dekodowany i wykonywany za pomocą pliku mshtml.dll. Ta technika, znana jako tupanie modułami, służy do ostatecznego uruchomienia GHOSTPULSE.
GHOSTPULSE działa jako moduł ładujący i wykorzystuje inną technikę zwaną doppelgängowaniem procesów w celu zainicjowania wykonania ostatecznego zestawu złośliwego oprogramowania, który obejmuje SectopRAT , Rhadamanthys , Vidar, Lumma i NetSupport RAT .
Konsekwencje dla ofiar ataków złośliwego oprogramowania mogą być poważne
Infekcja trojanem dostępu zdalnego (RAT) powoduje kilka poważnych konsekwencji dla urządzeń użytkowników, co czyni go jednym z najniebezpieczniejszych typów złośliwego oprogramowania. Po pierwsze, RAT zapewnia złośliwym podmiotom nieautoryzowany dostęp i kontrolę, umożliwiając im potajemną obserwację, manipulowanie i kradzież poufnych informacji z zainfekowanego urządzenia. Obejmuje to dostęp do plików osobistych, danych logowania, danych finansowych, a nawet możliwość monitorowania i rejestrowania naciśnięć klawiszy, co czyni go potężnym narzędziem do kradzieży tożsamości i szpiegostwa. Działania te mogą prowadzić do strat finansowych, naruszeń prywatności oraz ujawnienia danych osobowych i zawodowych.
Co więcej, infekcje RAT mogą mieć niszczycielski wpływ na prywatność i bezpieczeństwo użytkowników. Podmioty powiązane z oszustwami mogą wykorzystywać RAT do włączania kamer internetowych i mikrofonów, skutecznie szpiegując ofiary w ich własnych domach. To wtargnięcie w przestrzeń osobistą nie tylko narusza prywatność, ale może również prowadzić do szantażu lub dystrybucji kompromitujących treści. Ponadto RAT można wykorzystać do przekształcenia zainfekowanych urządzeń w część botnetu, który może przeprowadzać cyberataki na dużą skalę, dystrybuować złośliwe oprogramowanie do innych systemów lub prowadzić działania przestępcze w imieniu atakującego. Ostatecznie infekcje RAT podważają zaufanie do środowiska cyfrowego, zagrażają bezpieczeństwu osobistemu i mogą mieć długotrwałe, poważne konsekwencje dla osób fizycznych, firm, a nawet narodów.
