GHOSTPULSE Malware
A fost detectată o campanie de atac cibernetic ascuns, care implică utilizarea fișierelor false ale pachetului de aplicații MSIX Windows pentru software bine-cunoscut precum Google Chrome, Microsoft Edge, Brave, Grammarly și Cisco Webex. Aceste fișiere nesigure sunt folosite pentru a disemina un nou tip de încărcător de malware numit GHOSTPULSE.
MSIX este un format de pachet de aplicații Windows pe care dezvoltatorii îl pot folosi pentru a-și împacheta, distribui și instala software-ul pe sistemele Windows. Cu toate acestea, este important de reținut că crearea și utilizarea fișierelor MSIX necesită acces la certificate de semnare de cod obținute în mod legitim sau dobândite ilegal, ceea ce face această metodă deosebit de atractivă pentru grupurile de hackeri bine finanțate și pline de resurse.
Cuprins
Atacatorii folosesc diverse tactici de momeală pentru a furniza malware-ul GHOSTPULSE
Pe baza instalatorilor de momeală utilizați în această schemă, se suspectează că potențialele victime sunt induse în eroare să descarce pachetele MSIX utilizând tehnici binecunoscute, inclusiv site-uri web compromise, otrăvire prin optimizarea motorului de căutare (SEO) sau publicitate frauduloasă (malvertising).
Când fișierul MSIX este executat, apare o solicitare Windows, îndemnând utilizatorii să facă clic pe butonul „Instalare”. După ce face acest lucru, GHOSTPULSE este descărcat în tăcere pe gazda compromisă de pe un server la distanță (în special, „manojsinghnegi[.]com”) printr-un script PowerShell.
Acest proces se desfășoară în mai multe etape, sarcina inițială fiind un fișier de arhivă TAR. Această arhivă conține un executabil care se prezintă drept serviciul Oracle VM VirtualBox (VBoxSVC.exe), dar, în realitate, este un binar legitim la pachet cu Notepad++ (gup.exe).
În plus, în arhiva TAR, există un fișier numit handoff.wav și o versiune troianizată a libcurl.dll. Acest libcurl.dll modificat este încărcat pentru a trece procesul de infecție la etapa următoare prin exploatarea unei vulnerabilități din gup.exe prin încărcarea secundară a DLL.
Tehnicile multiple și dăunătoare implicate în lanțul de infecție cu malware GHOSPULSE
Scriptul PowerShell inițiază execuția binarului VBoxSVC.exe, care, la rândul său, se angajează în încărcarea secundară a DLL prin încărcarea DLL corupt libcurl.dll din directorul curent. Această metodă permite actorului amenințării să minimizeze prezența pe disc a codului rău intenționat criptat, permițându-i să evite detectarea prin antivirus bazat pe fișiere și scanarea învățării automate.
După aceasta, fișierul DLL manipulat continuă prin analiza handoff.wav. În acest fișier audio, este ascunsă o sarcină utilă criptată, care este ulterior decodificată și executată prin mshtml.dll. Această tehnică, cunoscută sub numele de modul stomping, este folosită pentru a lansa GHOSTPULSE în cele din urmă.
GHOSTPULSE funcționează ca un încărcător și folosește o altă tehnică numită process doppelgänging pentru a iniția execuția setului final de malware, care include SectopRAT , Rhadamanthys , Vidar, Lumma și NetSupport RAT .
Consecințele pentru victimele atacurilor malware pot fi grave
O infecție cu Troian de acces la distanță (RAT) are câteva consecințe grave asupra dispozitivelor utilizatorilor, făcându-l unul dintre cele mai periculoase tipuri de malware. În primul rând, un RAT acordă acces și control neautorizat actorilor rău intenționați, permițându-le să observe, să manipuleze și să fure în secret informații sensibile de pe dispozitivul infectat. Aceasta include accesul la fișierele personale, acreditările de conectare, datele financiare și chiar capacitatea de a monitoriza și înregistra apăsările de la taste, făcându-l un instrument puternic pentru furtul de identitate și spionaj. Aceste activități pot duce la pierderi financiare, încălcări ale confidențialității și compromiterea datelor personale și profesionale.
În plus, infecțiile RAT pot avea impact devastator asupra confidențialității și securității utilizatorilor. Actorii legați de fraudă pot folosi RAT-urile pentru a porni camerele web și microfoanele, spionând efectiv victimele în propriile case. Această pătrundere în spațiile personale nu numai că încalcă confidențialitatea, ci poate duce și la șantaj sau distribuirea de conținut compromițător. În plus, RAT-urile pot fi folosite pentru a transforma dispozitivele infectate într-o parte a unei rețele bot, care poate lansa atacuri cibernetice la scară largă, poate distribui malware către alte sisteme sau poate desfășura activități criminale în numele atacatorului. În cele din urmă, infecțiile RAT subminează încrederea în mediul digital, erodează siguranța personală și pot avea consecințe grave și de lungă durată pentru indivizi, întreprinderi și chiar națiuni.
