El malware GHOSTPULSE se propaga a través de aplicaciones MSIX falsas
Se ha detectado una reciente campaña de ciberataque que utiliza archivos falsos de paquetes de aplicaciones MSIX de Windows para software conocido como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex como medio para difundir un nuevo cargador de malware llamado GHOSTPULSE.
MSIX es un formato para paquetes de aplicaciones de Windows que los desarrolladores pueden utilizar para agrupar, distribuir e instalar sus aplicaciones en sistemas Windows, como lo explica el investigador de Elastic Security Labs, Joe Desimone, en un informe técnico reciente. Sin embargo, vale la pena señalar que MSIX depende del acceso a certificados de firma de código legítimos o robados, lo que lo convierte en un objetivo atractivo para grupos con recursos importantes.
Según los instaladores de software engañosos utilizados como cebo, se sospecha que las víctimas potenciales son engañadas para que descarguen estos paquetes MSIX a través de varios métodos, incluidos sitios web comprometidos, manipulación de optimización de motores de búsqueda (SEO) o publicidad maliciosa.
Método de infección
Al iniciar el archivo MSIX, un cuadro de diálogo de Windows solicita a los usuarios que hagan clic en el botón "Instalar". Al hacerlo, se activa la descarga clandestina de GHOSTPULSE en el sistema comprometido desde un servidor remoto ubicado en "manojsinghnegi[.]com" a través de un script de PowerShell.
Este proceso se desarrolla en varias etapas, siendo la carga útil inicial un archivo TAR que contiene un ejecutable. Este ejecutable pretende ser el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero, de hecho, es un binario legítimo incluido con Notepad++ (gup.exe).
Dentro del archivo TAR, también hay un archivo llamado handoff.wav y una versión manipulada de libcurl.dll. Este archivo DLL se carga para avanzar el proceso de infección a la siguiente etapa explotando la vulnerabilidad de gup.exe a la carga lateral de DLL.
Posteriormente, el archivo DLL manipulado procede a examinar handoff.wav, que, a su vez, oculta una carga útil cifrada que se decodifica y ejecuta a través de mshtml.dll, una técnica conocida como pisar módulos. Esta acción conduce a la carga final de GHOSTPULSE.
GHOSTPULSE sirve como cargador y emplea otro método conocido como proceso de duplicación para iniciar la ejecución del malware final, que incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.