GHOSTPULSE Malware
Была обнаружена скрытая кампания кибератаки, включающая использование поддельных файлов пакета приложений MSIX Windows для известного программного обеспечения, такого как Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex. Эти небезопасные файлы используются для распространения нового типа загрузчика вредоносного ПО под названием GHOSTPULSE.
MSIX — это формат пакета приложений Windows, который разработчики могут использовать для упаковки, распространения и установки своего программного обеспечения в системах Windows. Однако важно отметить, что для создания и использования файлов MSIX необходим доступ к законно полученным или незаконно полученным сертификатам подписи кода, что делает этот метод особенно привлекательным для хорошо финансируемых и находчивых хакерских групп.
Оглавление
Злоумышленники используют различные тактики приманки для доставки вредоносного ПО GHOSTPULSE
На основании установщиков-приманок, использованных в этой схеме, можно предположить, что потенциальные жертвы вводятся в заблуждение при загрузке пакетов MSIX с использованием хорошо известных методов, включая взломанные веб-сайты, отравление поисковой оптимизацией (SEO) или мошенническую рекламу (вредоносную рекламу).
При запуске файла MSIX появляется приглашение Windows, предлагающее пользователям нажать кнопку «Установить». При этом GHOSTPULSE автоматически загружается на скомпрометированный хост с удаленного сервера (в частности, «manojsinghnegi[.]com») с помощью сценария PowerShell.
Этот процесс разворачивается в несколько этапов, при этом исходной полезной нагрузкой является архивный файл TAR. Этот архив содержит исполняемый файл, который выдает себя за службу Oracle VM VirtualBox (VBoxSVC.exe), но на самом деле это законный двоичный файл, входящий в состав Notepad++ (gup.exe).
Кроме того, в архиве TAR есть файл Handoff.wav и троянизированная версия libcurl.dll. Эта измененная библиотека libcurl.dll загружается для перехода процесса заражения на следующий этап путем использования уязвимости в gup.exe посредством загрузки неопубликованных DLL.
Множество вредоносных методов, задействованных в цепочке заражения вредоносным ПО GHOSTPULSE
Сценарий PowerShell инициирует выполнение двоичного файла VBoxSVC.exe, который, в свою очередь, выполняет неопубликованную загрузку DLL, загружая поврежденную DLL libcurl.dll из текущего каталога. Этот метод позволяет злоумышленнику свести к минимуму наличие на диске зашифрованного вредоносного кода, что позволяет ему избежать обнаружения с помощью файлового антивируса и сканирования с помощью машинного обучения.
После этого обработанный файл DLL приступает к анализу файла Handoff.wav. В этом аудиофайле скрыты зашифрованные полезные данные, которые впоследствии декодируются и выполняются с помощью mshtml.dll. Этот метод, известный как топание модуля, в конечном итоге используется для запуска GHOSTPULSE.
GHOSTPULSE действует как загрузчик и использует другую технику, называемую дублированием процесса, для инициирования выполнения окончательного набора вредоносных программ, в который входят SectopRAT , Rhadamanthys , Vidar, Lumma и NetSupport RAT .
Последствия для жертв атак вредоносных программ могут быть серьезными
Заражение трояном удаленного доступа (RAT) приводит к ряду тяжелых последствий для устройств пользователей, что делает его одним из наиболее опасных типов вредоносных программ. Во-первых, RAT предоставляет злоумышленникам несанкционированный доступ и контроль, позволяя им скрытно наблюдать, манипулировать и красть конфиденциальную информацию с зараженного устройства. Это включает в себя доступ к личным файлам, учетным данным для входа, финансовым данным и даже возможность отслеживать и записывать нажатия клавиш, что делает его мощным инструментом для кражи личных данных и шпионажа. Эти действия могут привести к финансовым потерям, нарушению конфиденциальности и компрометации личных и профессиональных данных.
Кроме того, RAT-заражение может иметь разрушительные последствия для конфиденциальности и безопасности пользователей. Участники мошенничества могут использовать RAT для включения веб-камер и микрофонов, эффективно шпионя за жертвами в их собственных домах. Такое вторжение в личное пространство не только нарушает конфиденциальность, но также может привести к шантажу или распространению компрометирующего контента. Кроме того, RAT могут использоваться для превращения зараженных устройств в часть ботнета, который может осуществлять масштабные кибератаки, распространять вредоносное ПО на другие системы или осуществлять преступную деятельность от имени злоумышленника. В конечном итоге, RAT-инфекции подрывают доверие к цифровой среде, подрывают личную безопасность и могут иметь долгосрочные и серьезные последствия для отдельных лиц, предприятий и даже стран.
