Το κακόβουλο λογισμικό GHOSTPULSE διαδίδεται μέσω ψεύτικων εφαρμογών MSIX
Εντοπίστηκε μια πρόσφατη εκστρατεία κυβερνοεπιθέσεων, η οποία χρησιμοποιεί πλαστά αρχεία πακέτων εφαρμογών MSIX Windows για γνωστά λογισμικό όπως το Google Chrome, το Microsoft Edge, το Brave, το Grammarly και το Cisco Webex ως μέσο για τη διάδοση ενός νέου προγράμματος φόρτωσης κακόβουλου λογισμικού που ονομάζεται GHOSTPULSE.
Το MSIX είναι μια μορφή για πακέτα εφαρμογών των Windows που οι προγραμματιστές μπορούν να χρησιμοποιήσουν για να ομαδοποιήσουν, να διανείμουν και να εγκαταστήσουν τις εφαρμογές τους σε συστήματα Windows, όπως εξηγεί ο ερευνητής της Elastic Security Labs Joe Desimone σε μια πρόσφατη τεχνική έκθεση. Ωστόσο, αξίζει να σημειωθεί ότι το MSIX βασίζεται στην πρόσβαση σε νόμιμα ή κλεμμένα πιστοποιητικά υπογραφής κώδικα, καθιστώντας το έναν ελκυστικό στόχο για ομάδες με σημαντικούς πόρους.
Με βάση τα παραπλανητικά προγράμματα εγκατάστασης λογισμικού που χρησιμοποιούνται ως δόλωμα, υπάρχει η υποψία ότι τα πιθανά θύματα εξαπατούνται για να κατεβάσουν αυτά τα πακέτα MSIX μέσω διαφόρων μεθόδων, όπως παραβιασμένοι ιστότοποι, χειραγώγηση βελτιστοποίησης μηχανών αναζήτησης (SEO) ή κακόβουλες διαφημίσεις.
Μέθοδος μόλυνσης
Κατά την εκκίνηση του αρχείου MSIX, ένα παράθυρο διαλόγου των Windows ζητά από τους χρήστες να κάνουν κλικ στο κουμπί "Εγκατάσταση". Κάτι τέτοιο ενεργοποιεί την παράνομη λήψη του GHOSTPULSE στο παραβιασμένο σύστημα από έναν απομακρυσμένο διακομιστή που βρίσκεται στο "manojsinghnegi[.]com" μέσω ενός σεναρίου PowerShell.
Αυτή η διαδικασία εκτυλίσσεται σε πολλαπλά στάδια, με το αρχικό ωφέλιμο φορτίο να είναι ένα αρχείο αρχειοθέτησης TAR που περιέχει ένα εκτελέσιμο αρχείο. Αυτό το εκτελέσιμο προσποιείται ότι είναι η υπηρεσία Oracle VM VirtualBox (VBoxSVC.exe), αλλά στην πραγματικότητα είναι ένα νόμιμο δυαδικό πακέτο με το Notepad++ (gup.exe).
Μέσα στο αρχείο TAR, υπάρχει επίσης ένα αρχείο που ονομάζεται handoff.wav και μια παραποιημένη έκδοση του libcurl.dll. Αυτό το αρχείο DLL φορτώνεται για να προχωρήσει η διαδικασία μόλυνσης στο επόμενο στάδιο, εκμεταλλευόμενος την ευπάθεια του gup.exe στην πλευρική φόρτωση DLL.
Το αρχείο DLL που έχει υποστεί χειραγώγηση προχωρά στη συνέχεια εξετάζοντας το handoff.wav, το οποίο, με τη σειρά του, κρύβει ένα κρυπτογραφημένο ωφέλιμο φορτίο που αποκωδικοποιείται και εκτελείται μέσω του mshtml.dll, μιας τεχνικής γνωστής ως πάτημα λειτουργιών. Αυτή η ενέργεια οδηγεί στην τελική φόρτωση του GHOSTPULSE.
Το GHOSTPULSE χρησιμεύει ως φορτωτής και χρησιμοποιεί μια άλλη μέθοδο γνωστή ως διαδικασία doppelgänging για την εκκίνηση της εκτέλεσης του τελικού κακόβουλου λογισμικού, το οποίο περιλαμβάνει τα SectopRAT, Rhadamanthys, Vidar, Lumma και NetSupport RAT.