Malware GHOSTPULSE
Është zbuluar një fushatë e fshehtë e sulmeve kibernetike, që përfshin përdorimin e skedarëve të rreme të paketave të aplikacionit MSIX Windows për softuer të mirënjohur si Google Chrome, Microsoft Edge, Brave, Grammarly dhe Cisco Webex. Këta skedarë të pasigurt po përdoren për të shpërndarë një lloj të ri ngarkues malware të quajtur GHOSTPULSE.
MSIX është një format pakete aplikacioni Windows që zhvilluesit mund ta përdorin për të paketuar, shpërndarë dhe instaluar softuerin e tyre në sistemet Windows. Megjithatë, është e rëndësishme të theksohet se krijimi dhe përdorimi i skedarëve MSIX kërkon akses në certifikatat e nënshkrimit të kodit të marra ose të fituara në mënyrë të paligjshme, duke e bërë këtë metodë veçanërisht tërheqëse për grupet e hakerëve të financuar mirë dhe me shkathtësi.
Tabela e Përmbajtjes
Sulmuesit përdorin taktika të ndryshme joshjeje për të ofruar malware-in GHOSTPULSE
Bazuar në instaluesit e karremit të përdorur në këtë skemë, dyshohet se viktimat e mundshme mashtrohen për të shkarkuar paketat MSIX duke përdorur teknika të njohura, duke përfshirë faqet e internetit të komprometuara, helmimin e Optimizimit të Motorit të Kërkimit (SEO) ose reklamat mashtruese (keqvertifikim).
Kur skedari MSIX ekzekutohet, shfaqet një mesazh i Windows, i cili u kërkon përdoruesve të klikojnë butonin "Instalo". Pasi ta bëjë këtë, GHOSTPULSE shkarkohet në heshtje në hostin e komprometuar nga një server në distancë (veçanërisht, 'manojsinghnegi[.]com') nëpërmjet një skripti PowerShell.
Ky proces shpaloset në disa faza, ku ngarkesa fillestare është një skedar arkivi TAR. Ky arkiv përmban një ekzekutues që paraqet shërbimin Oracle VM VirtualBox (VBoxSVC.exe), por në realitet, është një binar legjitim i bashkuar me Notepad++ (gup.exe).
Për më tepër, brenda arkivit TAR, ekziston një skedar i quajtur handoff.wav dhe një version i trojanizuar i libcurl.dll. Ky libcurl.dll i ndryshuar ngarkohet për të përparuar procesin e infeksionit në fazën tjetër duke shfrytëzuar një cenueshmëri në gup.exe përmes ngarkimit anësor të DLL.
Teknika të shumta, të dëmshme të përfshira në zinxhirin e infeksionit të malware GHOSTPULSE
Skripti PowerShell fillon ekzekutimin e VBoxSVC.exe binar, i cili, nga ana tjetër, angazhohet në ngarkimin anësor të DLL duke ngarkuar libcurl.dll-in e dëmtuar DLL nga direktoria aktuale. Kjo metodë i lejon aktorit të kërcënimit të minimizojë praninë në disk të kodit me qëllim të keq të koduar, duke i mundësuar ata të shmangin zbulimin me anë të antiviruseve të bazuara në skedarë dhe skanimit të mësimit të makinës.
Pas kësaj, skedari DLL i manipuluar vazhdon duke analizuar handoff.wav. Brenda këtij skedari audio, fshihet një ngarkesë e koduar, e cila më pas deshifrohet dhe ekzekutohet përmes mshtml.dll. Kjo teknikë, e njohur si goditje e modulit, përdoret për të nisur përfundimisht GHOSTPULSE.
GHOSTPULSE funksionon si një ngarkues dhe përdor një teknikë tjetër të quajtur procesi doppelgänging për të inicuar ekzekutimin e grupit përfundimtar të malware, i cili përfshin SectopRAT , Rhadamanthys , Vidar, Lumma dhe NetSupport RAT .
Pasojat për viktimat e sulmeve malware mund të jenë të rënda
Një infeksion i Trojanit të Qasjes në Distanca (RAT) paraqet disa pasoja të tmerrshme për pajisjet e përdoruesve, duke e bërë atë një nga llojet më të rrezikshme të malware. Së pari, një RAT u jep akses dhe kontroll të paautorizuar aktorëve me qëllim të keq, duke i lejuar ata të vëzhgojnë, manipulojnë dhe vjedhin informacione të ndjeshme nga pajisja e infektuar. Kjo përfshin aksesin në dosjet personale, kredencialet e hyrjes, të dhënat financiare, madje edhe aftësinë për të monitoruar dhe regjistruar goditjet e tasteve, duke e bërë atë një mjet të fuqishëm për vjedhjen e identitetit dhe spiunazhin. Këto aktivitete mund të çojnë në humbje financiare, shkelje të privatësisë dhe kompromentim të të dhënave personale dhe profesionale.
Për më tepër, infeksionet RAT mund të kenë ndikime shkatërruese në privatësinë dhe sigurinë e përdoruesit. Aktorët e lidhur me mashtrimin mund të përdorin RAT për të ndezur kamerat e internetit dhe mikrofonat, duke spiunuar në mënyrë efektive viktimat në shtëpitë e tyre. Ky ndërhyrje në hapësirat personale jo vetëm që cenon privatësinë, por gjithashtu mund të çojë në shantazh ose shpërndarje të përmbajtjes komprometuese. Për më tepër, RAT-të mund të përdoren për të kthyer pajisjet e infektuara në pjesë të një botnet-i, i cili mund të nisë sulme kibernetike në shkallë të gjerë, të shpërndajë malware në sisteme të tjera ose të kryejë aktivitete kriminale në emër të sulmuesit. Në fund të fundit, infeksionet me RAT minojnë besimin në mjedisin dixhital, gërryejnë sigurinë personale dhe mund të kenë pasoja afatgjata dhe të rënda për individët, bizneset dhe madje edhe kombet.
