Il malware GHOSTPULSE si diffonde attraverso applicazioni MSIX false
È stata rilevata una recente campagna di attacco informatico, che utilizza file di pacchetti di applicazioni Windows MSIX falsi per software noti come Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex come mezzo per diffondere un nuovo caricatore di malware denominato GHOSTPULSE.
MSIX è un formato per i pacchetti di applicazioni Windows che gli sviluppatori possono utilizzare per raggruppare, distribuire e installare le proprie applicazioni su sistemi Windows, come spiegato dal ricercatore di Elastic Security Labs Joe Desimone in un recente rapporto tecnico. Tuttavia, vale la pena notare che MSIX si basa sull'accesso a certificati di firma del codice legittimi o rubati, rendendolo un obiettivo attraente per i gruppi con risorse significative.
Sulla base dei programmi di installazione software ingannevoli utilizzati come esca, si sospetta che le potenziali vittime vengano indotte con l'inganno a scaricare questi pacchetti MSIX attraverso vari metodi, inclusi siti Web compromessi, manipolazione dell'ottimizzazione dei motori di ricerca (SEO) o pubblicità dannosa.
Metodo di infezione
All'avvio del file MSIX, una finestra di dialogo di Windows richiede agli utenti di fare clic sul pulsante "Installa". Ciò attiva il download clandestino di GHOSTPULSE sul sistema compromesso da un server remoto situato su "manojsinghnegi[.]com" tramite uno script PowerShell.
Questo processo si svolge in più fasi, con il payload iniziale che è un file di archivio TAR che contiene un eseguibile. Questo eseguibile finge di essere il servizio Oracle VM VirtualBox (VBoxSVC.exe), ma in realtà è un file binario legittimo in bundle con Notepad++ (gup.exe).
All'interno dell'archivio TAR c'è anche un file chiamato handoff.wav e una versione manomessa di libcurl.dll. Questo file DLL viene caricato per far avanzare il processo di infezione alla fase successiva sfruttando la vulnerabilità di gup.exe al caricamento laterale della DLL.
Il file DLL manipolato procede successivamente esaminando handoff.wav, che, a sua volta, nasconde un payload crittografato che viene decodificato ed eseguito tramite mshtml.dll, una tecnica nota come module stomping. Questa azione porta al caricamento finale di GHOSTPULSE.
GHOSTPULSE funge da caricatore e utilizza un altro metodo noto come doppelgänging del processo per avviare l'esecuzione del malware finale, che include SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.