GHOSTPULSE マルウェアは偽の MSIX アプリケーションを通じて拡散

最近のサイバー攻撃キャンペーンが検出されました。これは、GHOSTPULSE という名前の新しいマルウェア ローダーを広める手段として、Google Chrome、Microsoft Edge、Brave、Grammarly、Cisco Webex などの有名なソフトウェアの偽の MSIX Windows アプリケーション パッケージ ファイルを利用しています。

MSIX は、Elastic Security Labs の研究者 Joe Desimone 氏が最近の技術レポートで説明しているように、開発者が Windows システムにアプリケーションをバンドル、配布、インストールするために使用できる Windows アプリケーション パッケージの形式です。それにもかかわらず、MSIX は正規のコード署名証明書または盗まれたコード署名証明書へのアクセスに依存しているため、大量のリソースを持つグループにとって魅力的なターゲットとなっている点は注目に値します。

おとりとして使用された欺瞞的なソフトウェア インストーラーに基づいて、潜在的な被害者は、侵害された Web サイト、検索エンジン最適化 (SEO) 操作、悪意のある広告などのさまざまな方法を通じてこれらの MSIX パッケージをダウンロードするようにだまされていると考えられています。

感染方法

MSIX ファイルを起動すると、Windows ダイアログが表示され、「インストール」ボタンをクリックするよう求められます。これにより、PowerShell スクリプトを介して、「manojsinghnegi[.]com」にあるリモート サーバーから侵害されたシステムへの GHOSTPULSE の秘密のダウンロードがトリガーされます。

このプロセスは複数の段階で展開され、最初のペイロードは実行可能ファイルを含む TAR アーカイブ ファイルです。この実行可能ファイルは Oracle VM VirtualBox サービス (VBoxSVC.exe) を装いますが、実際には Notepad++ (gup.exe) にバンドルされている正規のバイナリです。

TAR アーカイブ内には、handoff.wav というファイルと、改ざんされたバージョンの libcurl.dll も含まれています。この DLL ファイルは、DLL サイドローディングに対する gup.exe の脆弱性を悪用して、感染プロセスを次の段階に進めるためにロードされます。

操作された DLL ファイルは、その後、handoff.wav の検査に進み、モジュール ストンピングとして知られる技術である mshtml.dll を通じてデコードおよび実行される暗号化されたペイロードを隠蔽します。このアクションは、GHOSTPULSE の最終的なロードにつながります。

GHOSTPULSE はローダーとして機能し、プロセス ドッペルゲンギングとして知られる別の方法を使用して、SectopRAT、Rhadamanthys、Vidar、Lumma、NetSupport RAT などの最終的なマルウェアの実行を開始します。

Zaib
November 1, 2023
Malware
日本語
November 1, 2023
Malware

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。