GHOSTPULSE Skadlig programvara
En smyg cyberattackkampanj har upptäckts, som involverar användning av falska MSIX Windows-programpaketfiler för välkända program som Google Chrome, Microsoft Edge, Brave, Grammarly och Cisco Webex. Dessa osäkra filer används för att sprida en ny typ av skadlig programvara som heter GHOSTPULSE.
MSIX är ett Windows-applikationspaketformat som utvecklare kan använda för att paketera, distribuera och installera sin programvara på Windows-system. Det är dock viktigt att notera att skapa och använda MSIX-filer kräver tillgång till legitimt erhållna eller olagligt förvärvade kodsigneringscertifikat, vilket gör denna metod särskilt tilltalande för välfinansierade och resursstarka hackergrupper.
Innehållsförteckning
Angripare använder olika lure-taktiker för att leverera GHOSTPULSE Malware
Baserat på de betesinstallatörer som används i detta schema, misstänks det att potentiella offer vilseleds för att ladda ner MSIX-paketen med hjälp av välkända tekniker, inklusive komprometterade webbplatser, sökmotoroptimeringsförgiftning (SEO) eller bedräglig reklam (malvertising).
När MSIX-filen körs visas en Windows-prompt som uppmanar användare att klicka på knappen "Installera". När du gör det, laddas GHOSTPULSE tyst ned till den komprometterade värden från en fjärrserver (specifikt 'manojsinghnegi[.]com') via ett PowerShell-skript.
Denna process utspelar sig över flera steg, med den initiala nyttolasten som en TAR-arkivfil. Det här arkivet innehåller en körbar fil som utger sig som Oracle VM VirtualBox-tjänsten (VBoxSVC.exe), men i verkligheten är det en legitim binär buntad med Notepad++ (gup.exe).
I TAR-arkivet finns dessutom en fil med namnet handoff.wav och en trojaniserad version av libcurl.dll. Denna ändrade libcurl.dll laddas för att gå vidare med infektionsprocessen till nästa steg genom att utnyttja en sårbarhet i gup.exe genom att ladda ner DLL från sidan.
De flera skadliga teknikerna som är involverade i GHOSTPULSE Malware-infektionskedjan
PowerShell-skriptet initierar exekveringen av den binära VBoxSVC.exe, som i sin tur engagerar sig i DLL-sidoladdning genom att ladda den skadade DLL:n libcurl.dll från den aktuella katalogen. Denna metod tillåter hotaktören att minimera förekomsten av krypterad skadlig kod på disken, vilket gör att de kan undvika upptäckt genom filbaserad antivirus- och maskininlärningsskanning.
Efter detta fortsätter den manipulerade DLL-filen genom att analysera handoff.wav. Inom denna ljudfil döljs en krypterad nyttolast, som sedan avkodas och exekveras genom mshtml.dll. Denna teknik, känd som modulstampning, används för att till slut starta GHOSTPULSE.
GHOSTPULSE fungerar som en loader och använder en annan teknik som kallas processdoppelgänging för att initiera exekveringen av den sista uppsättningen skadlig programvara, som inkluderar SectopRAT , Rhadamanthys , Vidar, Lumma och NetSupport RAT .
Konsekvenserna för offer för attacker med skadlig programvara kan vara allvarliga
En Remote Access Trojan (RAT)-infektion medför flera fruktansvärda konsekvenser för användarnas enheter, vilket gör det till en av de farligaste typerna av skadlig programvara. För det första ger en RAT obehörig åtkomst och kontroll till illvilliga aktörer, vilket tillåter dem att i hemlighet observera, manipulera och stjäla känslig information från den infekterade enheten. Detta inkluderar tillgång till personliga filer, inloggningsuppgifter, ekonomiska data och till och med möjligheten att övervaka och registrera tangenttryckningar, vilket gör det till ett potent verktyg för identitetsstöld och spionage. Dessa aktiviteter kan leda till ekonomiska förluster, integritetsintrång och äventyrande av personliga och professionella uppgifter.
Dessutom kan RAT-infektioner ha förödande effekter på användarnas integritet och säkerhet. Bedrägerirelaterade aktörer kan använda RATs för att slå på webbkameror och mikrofoner, och effektivt spionera på offer i sina egna hem. Detta intrång i personliga utrymmen kränker inte bara integriteten utan kan också leda till utpressning eller distribution av kompromissande innehåll. Dessutom kan RAT:er användas för att förvandla infekterade enheter till en del av ett botnät, som kan starta storskaliga cyberattacker, distribuera skadlig programvara till andra system eller utföra kriminella aktiviteter för angriparens räkning. I slutändan undergräver RAT-infektioner förtroendet för den digitala miljön, urholkar den personliga säkerheten och kan få långvariga, allvarliga konsekvenser för individer, företag och till och med nationer.
