GHOSTPULSE Malware spredes gennem falske MSIX-applikationer

En nylig cyberangrebskampagne er blevet opdaget, der bruger falske MSIX Windows-applikationspakkefiler til velkendt software som Google Chrome, Microsoft Edge, Brave, Grammarly og Cisco Webex som et middel til at sprede en ny malware-indlæser ved navn GHOSTPULSE.

MSIX er et format til Windows-applikationspakker, som udviklere kan bruge til at samle, distribuere og installere deres applikationer på Windows-systemer, som forklaret af Elastic Security Labs-forsker Joe Desimone i en nylig teknisk rapport. Ikke desto mindre er det værd at bemærke, at MSIX er afhængig af adgang til legitime eller stjålne kodesigneringscertifikater, hvilket gør det til et attraktivt mål for grupper med betydelige ressourcer.

Baseret på de vildledende softwareinstallatører, der bruges som lokkemad, er der mistanke om, at potentielle ofre bliver narret til at downloade disse MSIX-pakker gennem forskellige metoder, herunder kompromitterede websteder, søgemaskineoptimering (SEO) manipulation eller ondsindet reklame.

Infektionsmetode

Når MSIX-filen startes, beder en Windows-dialogboks brugerne om at klikke på knappen "Installer". Hvis du gør det, udløser den hemmelige download af GHOSTPULSE til det kompromitterede system fra en fjernserver placeret på "manojsinghnegi[.]com" via et PowerShell-script.

Denne proces udfolder sig i flere faser, hvor den indledende nyttelast er en TAR-arkivfil, der indeholder en eksekverbar. Denne eksekverbare foregiver at være Oracle VM VirtualBox-tjenesten (VBoxSVC.exe), men den er faktisk en legitim binær bundtet med Notepad++ (gup.exe).

Inde i TAR-arkivet er der også en fil kaldet handoff.wav og en manipuleret version af libcurl.dll. Denne DLL-fil indlæses for at fremme infektionsprocessen til næste trin ved at udnytte sårbarheden af gup.exe til DLL-sideindlæsning.

Den manipulerede DLL-fil fortsætter efterfølgende med at undersøge handoff.wav, som igen skjuler en krypteret nyttelast, der er afkodet og eksekveret gennem mshtml.dll, en teknik kendt som modul stomping. Denne handling fører til den ultimative indlæsning af GHOSTPULSE.

GHOSTPULSE fungerer som en loader og anvender en anden metode kendt som procesdoppelgänging til at initiere udførelsen af den endelige malware, som inkluderer SectopRAT, Rhadamanthys, Vidar, Lumma og NetSupport RAT.