Les logiciels malveillants GHOSTPULSE se propagent via de fausses applications MSIX

Une récente campagne de cyberattaque a été détectée, utilisant de faux fichiers de packages d'applications MSIX Windows pour des logiciels bien connus tels que Google Chrome, Microsoft Edge, Brave, Grammarly et Cisco Webex comme moyen de diffuser un nouveau chargeur de logiciels malveillants nommé GHOSTPULSE.

MSIX est un format pour les packages d'applications Windows que les développeurs peuvent utiliser pour regrouper, distribuer et installer leurs applications sur les systèmes Windows, comme l'explique Joe Desimone, chercheur chez Elastic Security Labs, dans un récent rapport technique. Néanmoins, il convient de noter que MSIX s'appuie sur l'accès à des certificats de signature de code légitimes ou volés, ce qui en fait une cible attrayante pour les groupes disposant de ressources importantes.

Sur la base des installateurs de logiciels trompeurs utilisés comme appâts, on soupçonne que les victimes potentielles sont amenées à télécharger ces packages MSIX par diverses méthodes, notamment des sites Web compromis, une manipulation d'optimisation des moteurs de recherche (SEO) ou des publicités malveillantes.

Méthode d'infection

Lors du lancement du fichier MSIX, une boîte de dialogue Windows invite les utilisateurs à cliquer sur le bouton "Installer". Cela déclenche le téléchargement clandestin de GHOSTPULSE sur le système compromis à partir d'un serveur distant situé à "manojsinghnegi[.]com" via un script PowerShell.

Ce processus se déroule en plusieurs étapes, la charge utile initiale étant un fichier d'archive TAR contenant un exécutable. Cet exécutable prétend être le service Oracle VM VirtualBox (VBoxSVC.exe), mais il s'agit en fait d'un binaire légitime fourni avec Notepad++ (gup.exe).

Dans l'archive TAR, il y a aussi un fichier appelé handoff.wav et une version falsifiée de libcurl.dll. Ce fichier DLL est chargé pour faire passer le processus d'infection à l'étape suivante en exploitant la vulnérabilité de gup.exe au chargement latéral de DLL.

Le fichier DLL manipulé procède ensuite à l'examen de handoff.wav, qui, à son tour, dissimule une charge utile cryptée qui est décodée et exécutée via mshtml.dll, une technique connue sous le nom de module stomping. Cette action conduit au chargement ultime de GHOSTPULSE.

GHOSTPULSE sert de chargeur et utilise une autre méthode connue sous le nom de processus de doppelgänging pour lancer l'exécution du malware final, qui comprend SectopRAT, Rhadamanthys, Vidar, Lumma et NetSupport RAT.

Par Zaib
November 1, 2023
Malware
Français
November 1, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.