GHOSTPULSE మాల్వేర్

గూగుల్ క్రోమ్, మైక్రోసాఫ్ట్ ఎడ్జ్, బ్రేవ్, గ్రామర్లీ మరియు సిస్కో వెబెక్స్ వంటి ప్రసిద్ధ సాఫ్ట్‌వేర్ కోసం నకిలీ MSIX విండోస్ అప్లికేషన్ ప్యాకేజీ ఫైల్‌లను ఉపయోగించడంతో కూడిన రహస్య సైబర్‌టాక్ ప్రచారం కనుగొనబడింది. GHOSTPULSE అనే కొత్త రకం మాల్వేర్ లోడర్‌ని వ్యాప్తి చేయడానికి ఈ అసురక్షిత ఫైల్‌లు ఉపయోగించబడుతున్నాయి.

MSIX అనేది విండోస్ అప్లికేషన్ ప్యాకేజీ ఫార్మాట్, దీనిని డెవలపర్‌లు విండోస్ సిస్టమ్‌లలో తమ సాఫ్ట్‌వేర్‌ను ప్యాకేజీ చేయడానికి, పంపిణీ చేయడానికి మరియు ఇన్‌స్టాల్ చేయడానికి ఉపయోగించవచ్చు. అయినప్పటికీ, MSIX ఫైల్‌లను సృష్టించడం మరియు ఉపయోగించడం అనేది చట్టబద్ధంగా పొందిన లేదా చట్టవిరుద్ధంగా పొందిన కోడ్ సంతకం సర్టిఫికేట్‌లకు ప్రాప్యత అవసరమని గమనించడం ముఖ్యం, ఈ పద్ధతి ముఖ్యంగా బాగా నిధులు మరియు వనరులతో కూడిన హ్యాకర్ సమూహాలకు ఆకర్షణీయంగా ఉంటుంది.

దాడి చేసేవారు GHOSTPULSE మాల్వేర్‌ను అందించడానికి వివిధ ఎర వ్యూహాలను ఉపయోగిస్తారు

ఈ పథకంలో ఉపయోగించిన బైట్ ఇన్‌స్టాలర్‌ల ఆధారంగా, రాజీపడిన వెబ్‌సైట్‌లు, సెర్చ్ ఇంజన్ ఆప్టిమైజేషన్ (SEO) విషప్రయోగం లేదా మోసపూరిత ప్రకటనలు (మాల్వర్టైజింగ్) వంటి ప్రసిద్ధ సాంకేతికతలను ఉపయోగించి సంభావ్య బాధితులు MSIX ప్యాకేజీలను డౌన్‌లోడ్ చేయడానికి తప్పుదారి పట్టించబడ్డారని అనుమానిస్తున్నారు.

MSIX ఫైల్ అమలు చేయబడినప్పుడు, Windows ప్రాంప్ట్ కనిపిస్తుంది, 'ఇన్‌స్టాల్' బటన్‌ను క్లిక్ చేయమని వినియోగదారులను ప్రోత్సహిస్తుంది. అలా చేసిన తర్వాత, పవర్‌షెల్ స్క్రిప్ట్ ద్వారా రిమోట్ సర్వర్ (ప్రత్యేకంగా, 'manojsinghnegi[.]com') నుండి రాజీపడిన హోస్ట్‌కి GHOSTPULSE నిశ్శబ్దంగా డౌన్‌లోడ్ చేయబడుతుంది.

ప్రారంభ పేలోడ్ TAR ఆర్కైవ్ ఫైల్‌గా ఉండటంతో, ఈ ప్రక్రియ బహుళ దశల్లో జరుగుతుంది. ఈ ఆర్కైవ్ ఒరాకిల్ VM వర్చువల్‌బాక్స్ సేవ (VBoxSVC.exe) వలె ప్రదర్శించబడే ఒక ఎక్జిక్యూటబుల్‌ను కలిగి ఉంది, అయితే వాస్తవానికి ఇది Notepad++ (gup.exe)తో కూడిన చట్టబద్ధమైన బైనరీ.

అదనంగా, TAR ఆర్కైవ్‌లో, handoff.wav అనే ఫైల్ మరియు libcurl.dll యొక్క ట్రోజనైజ్డ్ వెర్షన్ ఉంది. ఈ మార్చబడిన libcurl.dll DLL సైడ్-లోడింగ్ ద్వారా gup.exeలో దుర్బలత్వాన్ని ఉపయోగించడం ద్వారా సంక్రమణ ప్రక్రియను తదుపరి దశకు చేర్చడానికి లోడ్ చేయబడింది.

GHOSTPULSE మాల్వేర్ ఇన్ఫెక్షన్ చైన్‌లో ఉన్న బహుళ, హానికరమైన సాంకేతికతలు

పవర్‌షెల్ స్క్రిప్ట్ బైనరీ VBoxSVC.exe యొక్క అమలును ప్రారంభిస్తుంది, ఇది ప్రస్తుత డైరెక్టరీ నుండి పాడైన DLL libcurl.dllని లోడ్ చేయడం ద్వారా DLL సైడ్-లోడింగ్‌లో పాల్గొంటుంది. ఈ పద్ధతి గుప్తీకరించిన హానికరమైన కోడ్ యొక్క ఆన్-డిస్క్ ఉనికిని తగ్గించడానికి ముప్పు నటుడిని అనుమతిస్తుంది, ఫైల్-ఆధారిత యాంటీవైరస్ మరియు మెషిన్ లెర్నింగ్ స్కానింగ్ ద్వారా గుర్తించకుండా వారిని తప్పించుకోవడానికి వీలు కల్పిస్తుంది.

దీన్ని అనుసరించి, హ్యాండ్‌ఆఫ్.వావ్‌ను విశ్లేషించడం ద్వారా మానిప్యులేట్ చేసిన DLL ఫైల్ కొనసాగుతుంది. ఈ ఆడియో ఫైల్‌లో, ఎన్‌క్రిప్టెడ్ పేలోడ్ దాగి ఉంది, ఇది తదనంతరం డీకోడ్ చేయబడుతుంది మరియు mshtml.dll ద్వారా అమలు చేయబడుతుంది. మాడ్యూల్ స్టాంపింగ్ అని పిలువబడే ఈ సాంకేతికత, చివరికి ఘోస్ట్‌పుల్స్‌ను ప్రారంభించేందుకు ఉపయోగించబడుతుంది.

GHOSTPULSE లోడర్‌గా పనిచేస్తుంది మరియు మాల్వేర్ యొక్క చివరి సెట్‌ను అమలు చేయడానికి ప్రాసెస్ డోపెల్‌గేజింగ్ అని పిలువబడే మరొక సాంకేతికతను ఉపయోగిస్తుంది, ఇందులో SectopRAT , Rhadamanthys , Vidar, Lumma మరియు NetSupport RAT ఉన్నాయి.

మాల్వేర్ దాడుల బాధితులకు పరిణామాలు తీవ్రంగా ఉండవచ్చు

రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) ఇన్ఫెక్షన్ వినియోగదారుల పరికరాలకు అనేక భయంకరమైన పరిణామాలను కలిగిస్తుంది, ఇది మాల్వేర్ యొక్క అత్యంత ప్రమాదకరమైన రకాల్లో ఒకటిగా మారింది. ముందుగా, RAT హానికరమైన నటులకు అనధికారిక యాక్సెస్ మరియు నియంత్రణను మంజూరు చేస్తుంది, సోకిన పరికరం నుండి రహస్యంగా గమనించడానికి, మార్చటానికి మరియు దొంగిలించడానికి వారిని అనుమతిస్తుంది. ఇది వ్యక్తిగత ఫైల్‌లకు యాక్సెస్, లాగిన్ ఆధారాలు, ఆర్థిక డేటా మరియు కీస్ట్రోక్‌లను పర్యవేక్షించే మరియు రికార్డ్ చేయగల సామర్థ్యాన్ని కూడా కలిగి ఉంటుంది, ఇది గుర్తింపు దొంగతనం మరియు గూఢచర్యానికి శక్తివంతమైన సాధనంగా మారుతుంది. ఈ కార్యకలాపాలు ఆర్థిక నష్టాలు, గోప్యతా ఉల్లంఘనలు మరియు వ్యక్తిగత మరియు వృత్తిపరమైన డేటా రాజీకి దారితీయవచ్చు.

ఇంకా, RAT అంటువ్యాధులు వినియోగదారు గోప్యత మరియు భద్రతపై వినాశకరమైన ప్రభావాలను కలిగి ఉంటాయి. మోసానికి సంబంధించిన నటులు వెబ్‌క్యామ్‌లు మరియు మైక్రోఫోన్‌లను ఆన్ చేయడానికి RATలను ఉపయోగించవచ్చు, వారి స్వంత ఇళ్లలో బాధితులపై సమర్థవంతంగా గూఢచర్యం చేయవచ్చు. వ్యక్తిగత ప్రదేశాల్లోకి ఈ చొరబాటు గోప్యతను ఉల్లంఘించడమే కాకుండా బ్లాక్ మెయిల్ లేదా రాజీపడే కంటెంట్ పంపిణీకి దారితీయవచ్చు. అదనంగా, RATలు సోకిన పరికరాలను బోట్‌నెట్‌లో భాగంగా మార్చడానికి ఉపయోగించబడతాయి, ఇది పెద్ద-స్థాయి సైబర్‌టాక్‌లను ప్రారంభించగలదు, ఇతర సిస్టమ్‌లకు మాల్వేర్‌ను పంపిణీ చేస్తుంది లేదా దాడి చేసే వ్యక్తి తరపున నేరపూరిత కార్యకలాపాలను నిర్వహించగలదు. అంతిమంగా, RAT ఇన్ఫెక్షన్‌లు డిజిటల్ వాతావరణంలో నమ్మకాన్ని దెబ్బతీస్తాయి, వ్యక్తిగత భద్రతను దెబ్బతీస్తాయి మరియు వ్యక్తులు, వ్యాపారాలు మరియు దేశాలకు కూడా దీర్ఘకాలిక, తీవ్రమైన పరిణామాలను కలిగిస్తాయి.