มัลแวร์ GHOSTPULSE
ตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่ซ่อนเร้น ซึ่งเกี่ยวข้องกับการใช้ไฟล์แพ็คเกจแอปพลิเคชัน MSIX Windows ปลอมสำหรับซอฟต์แวร์ชื่อดัง เช่น Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex ไฟล์ที่ไม่ปลอดภัยเหล่านี้ถูกใช้เพื่อเผยแพร่ตัวโหลดมัลแวร์ประเภทใหม่ที่เรียกว่า GHOSTPULSE
MSIX คือรูปแบบแพ็คเกจแอปพลิเคชัน Windows ที่นักพัฒนาสามารถใช้เพื่อจัดทำแพ็คเกจ แจกจ่าย และติดตั้งซอฟต์แวร์ของตนบนระบบ Windows อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือการสร้างและใช้ไฟล์ MSIX จำเป็นต้องเข้าถึงใบรับรองการลงนามโค้ดที่ได้รับมาอย่างถูกกฎหมายหรือได้มาอย่างผิดกฎหมาย ทำให้วิธีนี้น่าสนใจเป็นพิเศษสำหรับกลุ่มแฮ็กเกอร์ที่ได้รับทุนสนับสนุนและมีไหวพริบดี
สารบัญ
ผู้โจมตีใช้กลยุทธ์ล่อลวงต่างๆ เพื่อส่งมัลแวร์ GHOSTPULSE
จากตัวติดตั้งเหยื่อที่ใช้ในโครงการนี้ สงสัยว่าผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ดาวน์โหลดแพ็คเกจ MSIX โดยใช้เทคนิคที่เป็นที่รู้จัก รวมถึงเว็บไซต์ที่ถูกบุกรุก การเป็นพิษต่อเครื่องมือค้นหา (SEO) หรือการโฆษณาที่ฉ้อโกง (มัลแวร์โฆษณา)
เมื่อดำเนินการไฟล์ MSIX ข้อความแจ้งของ Windows จะปรากฏขึ้นเพื่อกระตุ้นให้ผู้ใช้คลิกปุ่ม 'ติดตั้ง' เมื่อทำเช่นนั้น GHOSTPULSE จะถูกดาวน์โหลดแบบไม่มีการแจ้งไปยังโฮสต์ที่ถูกบุกรุกจากเซิร์ฟเวอร์ระยะไกล (โดยเฉพาะ 'manojsinghnegi[.]com') ผ่านทางสคริปต์ PowerShell
กระบวนการนี้เกิดขึ้นในหลายขั้นตอน โดยเพย์โหลดเริ่มต้นจะเป็นไฟล์เก็บถาวร TAR ไฟล์เก็บถาวรนี้มีไฟล์ปฏิบัติการที่ทำหน้าที่เป็นบริการ Oracle VM VirtualBox (VBoxSVC.exe) แต่ในความเป็นจริงแล้ว มันเป็นไบนารีที่ถูกต้องตามกฎหมายที่มาพร้อมกับ Notepad++ (gup.exe)
นอกจากนี้ ภายในไฟล์เก็บถาวร TAR ยังมีไฟล์ชื่อ handoff.wav และ libcurl.dll เวอร์ชันโทรจัน libcurl.dll ที่ถูกแก้ไขนี้ถูกโหลดเพื่อทำให้กระบวนการติดไวรัสก้าวหน้าไปอีกขั้นโดยใช้ประโยชน์จากช่องโหว่ใน gup.exe ผ่านการโหลด DLL ฝั่งตรงข้าม
เทคนิคที่เป็นอันตรายหลายประการเกี่ยวข้องกับห่วงโซ่การติดมัลแวร์ GHOSTPULSE
สคริปต์ PowerShell เริ่มต้นการทำงานของไบนารี VBoxSVC.exe ซึ่งในทางกลับกันจะมีส่วนร่วมในการโหลดฝั่ง DLL ด้วยการโหลด DLL libcurl.dll ที่เสียหายจากไดเร็กทอรีปัจจุบัน วิธีการนี้ช่วยให้ผู้คุกคามสามารถลดการแสดงโค้ดที่เป็นอันตรายที่เข้ารหัสบนดิสก์ให้เหลือน้อยที่สุด ช่วยให้พวกเขาสามารถหลบเลี่ยงการตรวจจับโดยการสแกนไวรัสแบบไฟล์และการเรียนรู้ของเครื่อง
ต่อไปนี้ ไฟล์ DLL ที่ถูกจัดการจะดำเนินการโดยการวิเคราะห์ handoff.wav ภายในไฟล์เสียงนี้ เพย์โหลดที่เข้ารหัสจะถูกปกปิด ซึ่งต่อมาจะถูกถอดรหัสและดำเนินการผ่าน mshtml.dll เทคนิคนี้เรียกว่าการกระทืบโมดูล ซึ่งใช้ในการเปิดใช้ GHOSTPULSE ในท้ายที่สุด
GHOSTPULSE ทำหน้าที่เป็นตัวโหลดและใช้เทคนิคอื่นที่เรียกว่ากระบวนการ doppelgänging เพื่อเริ่มต้นการทำงานของมัลแวร์ชุดสุดท้าย ซึ่งรวมถึง SectopRAT , Rhadamanthys , Vidar, Lumma และ NetSupport RAT
ผลที่ตามมาสำหรับผู้ที่ตกเป็นเหยื่อของการโจมตีมัลแวร์อาจมีความรุนแรง
การติดไวรัส Remote Access Trojan (RAT) ส่งผลร้ายแรงหลายประการต่ออุปกรณ์ของผู้ใช้ ทำให้เป็นหนึ่งในมัลแวร์ประเภทที่อันตรายที่สุด ประการแรก RAT ให้สิทธิ์การเข้าถึงและการควบคุมโดยไม่ได้รับอนุญาตแก่ผู้ไม่ประสงค์ดี ทำให้พวกเขาสังเกต จัดการ และขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัสได้อย่างซ่อนเร้น ซึ่งรวมถึงการเข้าถึงไฟล์ส่วนบุคคล ข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลทางการเงิน และแม้แต่ความสามารถในการตรวจสอบและบันทึกการกดแป้นพิมพ์ ทำให้เป็นเครื่องมือที่มีศักยภาพในการขโมยข้อมูลส่วนบุคคลและการจารกรรม กิจกรรมเหล่านี้อาจนำไปสู่การสูญเสียทางการเงิน การละเมิดความเป็นส่วนตัว และการประนีประนอมของข้อมูลส่วนบุคคลและข้อมูลทางอาชีพ
นอกจากนี้ การติดเชื้อ RAT อาจส่งผลกระทบร้ายแรงต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ ผู้ที่เกี่ยวข้องกับการฉ้อโกงสามารถใช้ RAT เพื่อเปิดเว็บแคมและไมโครโฟน เพื่อสอดแนมเหยื่อในบ้านของตนเองได้อย่างมีประสิทธิภาพ การบุกรุกพื้นที่ส่วนบุคคลนี้ไม่เพียงแต่ละเมิดความเป็นส่วนตัวเท่านั้น แต่ยังอาจนำไปสู่การขู่กรรโชกหรือเผยแพร่เนื้อหาที่มีการประนีประนอมอีกด้วย นอกจากนี้ RAT ยังสามารถใช้เพื่อเปลี่ยนอุปกรณ์ที่ติดไวรัสให้เป็นส่วนหนึ่งของบอตเน็ต ซึ่งสามารถโจมตีทางไซเบอร์ขนาดใหญ่ กระจายมัลแวร์ไปยังระบบอื่น หรือดำเนินกิจกรรมทางอาญาในนามของผู้โจมตี ท้ายที่สุดแล้ว การติดเชื้อ RAT จะบ่อนทำลายความไว้วางใจในสภาพแวดล้อมดิจิทัล ทำลายความปลอดภัยส่วนบุคคล และอาจส่งผลร้ายแรงต่อบุคคล ธุรกิจ และแม้แต่ประเทศชาติในระยะยาว
