A GHOSTPULSE rosszindulatú programok hamis MSIX alkalmazásokon keresztül terjednek

A közelmúltban egy kibertámadási kampányt észleltek, amelyben hamis MSIX Windows alkalmazáscsomag-fájlokat használtak olyan jól ismert szoftverekhez, mint a Google Chrome, a Microsoft Edge, a Brave, a Grammarly és a Cisco Webex a GHOSTPULSE nevű új rosszindulatú programbetöltő terjesztésének eszközeként.

Az MSIX a Windows-alkalmazáscsomagok formátuma, amellyel a fejlesztők csomagolhatják, terjeszthetik és telepíthetik alkalmazásaikat Windows rendszerekre, amint azt Joe Desimone, az Elastic Security Labs kutatója egy közelmúltban megjelent műszaki jelentésében kifejtette. Mindazonáltal érdemes megjegyezni, hogy az MSIX a legitim vagy ellopott kódaláíró tanúsítványokhoz való hozzáférésre támaszkodik, így vonzó célponttá válik a jelentős erőforrásokkal rendelkező csoportok számára.

A csaliként használt megtévesztő szoftvertelepítők alapján azt gyanítják, hogy a potenciális áldozatokat különféle módszerekkel csalják rá ezeknek az MSIX-csomagoknak a letöltésére, beleértve a feltört webhelyeket, a keresőoptimalizálás (SEO) manipulációját vagy a rosszindulatú reklámozást.

Fertőzési módszer

Az MSIX fájl elindításakor a Windows párbeszédpanel arra kéri a felhasználókat, hogy kattintson a "Telepítés" gombra. Ez elindítja a GHOSTPULSE titkos letöltését a feltört rendszerre a "manojsinghnegi[.]com" címen található távoli szerverről egy PowerShell-szkripten keresztül.

Ez a folyamat több szakaszban bontakozik ki, és a kezdeti hasznos adat egy végrehajtható fájlt tartalmazó TAR archív fájl. Ez a végrehajtható fájl úgy tesz, mintha az Oracle VM VirtualBox szolgáltatása (VBoxSVC.exe), de valójában egy legitim bináris fájl a Notepad++-szal (gup.exe) kötve.

A TAR archívumban található még egy handoff.wav fájl és a libcurl.dll manipulált verziója. Ez a DLL-fájl azért töltődik be, hogy a fertőzési folyamatot a következő szakaszba vigye a gup.exe sebezhetőségét kihasználva a DLL oldalsó betöltésére.

A manipulált DLL-fájl ezt követően a handoff.wav vizsgálatával folytatja, amely viszont egy titkosított hasznos adatot rejt magában, amelyet az mshtml.dll-en keresztül dekódolnak és hajtanak végre. Ez a technika a modul stomping néven ismert. Ez a művelet a GHOSTPULSE végső betöltéséhez vezet.

A GHOSTPULSE betöltőként szolgál, és egy másik eljárást, az úgynevezett processdoppelgänging-et alkalmaz, hogy elindítsa a végső rosszindulatú program végrehajtását, amely magában foglalja a SectopRAT-ot, a Rhadamanthys-t, a Vidart, a Lummát és a NetSupport RAT-ot.