GHOSTPULSE Malware
Uma campanha furtiva de ataque cibernético foi detectada, envolvendo o uso de arquivos falsos de pacotes de aplicativos MSIX do Windows para softwares conhecidos como Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex. Esses arquivos inseguros estão sendo usados para disseminar um novo tipo de carregador de malware chamado GHOSTPULSE.
MSIX é um formato de pacote de aplicativos do Windows que os desenvolvedores podem empregar para empacotar, distribuir e instalar seu software em sistemas Windows. No entanto, é importante observar que a criação e o uso de arquivos MSIX exigem acesso a certificados de assinatura de código obtidos legitimamente ou adquiridos ilicitamente, tornando esse método particularmente atraente para grupos de hackers bem financiados e com recursos.
Índice
Os Invasores Usam Várias Iscas para Entregar o GHOSTPULSE Malware
Com base nos instaladores de isco utilizados neste esquema, suspeita-se que as potenciais vítimas são enganadas ao descarregar os pacotes MSIX utilizando técnicas bem conhecidas, incluindo websites comprometidos, envenenamento por Search Engine Optimization (SEO) ou publicidade fraudulenta (malvertising).
Quando o arquivo MSIX é executado, um prompt do Windows aparece, solicitando aos usuários que cliquem no botão ‘Instalar’. Ao fazer isso, o GHOSTPULSE é baixado silenciosamente para o host comprometido a partir de um servidor remoto (especificamente, 'manojsinghnegi[.]com') por meio de um script do PowerShell.
Esse processo se desenvolve em vários estágios, com a carga inicial sendo um arquivo TAR. Este arquivo contém um executável que se apresenta como o serviço Oracle VM VirtualBox (VBoxSVC.exe), mas na realidade, é um binário legítimo incluído no Notepad++ (gup.exe).
Além disso, dentro do arquivo TAR, há um arquivo chamado handoff.wav e uma versão trojanizada de libcurl.dll. Este libcurl.dll alterado é carregado para progredir no processo de infecção para o próximo estágio, explorando uma vulnerabilidade em gup.exe por meio do carregamento lateral de DLL.
As Múltiplas Técnicas Prejudiciais Envolvidas na Cadeia de Infecção do GHOSTPULSE Malware
O script do PowerShell inicia a execução do binário VBoxSVC.exe, que, por sua vez, realiza o carregamento lateral de DLL, carregando a DLL libcurl.dll corrompida do diretório atual. Esse método permite que o agente da ameaça minimize a presença de código malicioso criptografado no disco, permitindo que ele evite a detecção por antivírus baseado em arquivo e verificação de aprendizado de máquina.
Em seguida, o arquivo DLL manipulado prossegue analisando handoff.wav. Dentro deste arquivo de áudio, uma carga criptografada é ocultada, que é posteriormente decodificada e executada por meio de mshtml.dll. Esta técnica, conhecida como módulo stomping, é usada para lançar o GHOSTPULSE em última instância.
O GHOSTPULSE funciona como um carregador e emprega outra técnica chamada doppelgänging de processo para iniciar a execução do conjunto final de malware, que inclui SectopRAT, Rhadamanthys, Vidar, Lumma e o NetSupport RAT.
As Consequências para as Vítimas de Ataques de Malware podem ser Graves
Uma infecção por um Trojan de Acesso Remoto (RAT) apresenta diversas consequências terríveis para os dispositivos dos usuários, tornando-o um dos tipos mais perigosos de malware. Em primeiro lugar, um RAT concede acesso e controle não autorizados a agentes mal-intencionados, permitindo-lhes observar, manipular e roubar secretamente informações confidenciais do dispositivo infectado. Isso inclui acesso a arquivos pessoais, credenciais de login, dados financeiros e até mesmo a capacidade de monitorar e registrar pressionamentos de teclas, tornando-se uma ferramenta potente para roubo de identidade e espionagem. Essas atividades podem levar a perdas financeiras, violações de privacidade e comprometimento de dados pessoais e profissionais.
Além disso, as infecções por RAT podem ter impactos devastadores na privacidade e segurança do usuário. Os atores relacionados à fraude podem usar RATs para ligar webcams e microfones, espionando efetivamente as vítimas em suas próprias casas. Esta intrusão em espaços pessoais não só viola a privacidade, mas também pode levar à chantagem ou à distribuição de conteúdo comprometedor. Além disso, os RATs podem ser usados para transformar dispositivos infectados em parte de uma botnet, que pode lançar ataques cibernéticos em grande escala, distribuir malware para outros sistemas ou realizar atividades criminosas em nome do invasor. Em última análise, as infecções por RAT minam a confiança no ambiente digital, corroem a segurança pessoal e podem ter consequências graves e duradouras para indivíduos, empresas e até mesmo nações.
