GHOSTPULSE マルウェアは偽の MSIX アプリケーションを通じて拡散
最近のサイバー攻撃キャンペーンが検出されました。これは、GHOSTPULSE という名前の新しいマルウェア ローダーを広める手段として、Google Chrome、Microsoft Edge、Brave、Grammarly、Cisco Webex などの有名なソフトウェアの偽の MSIX Windows アプリケーション パッケージ ファイルを利用しています。
MSIX は、Elastic Security Labs の研究者 Joe Desimone 氏が最近の技術レポートで説明しているように、開発者が Windows システムにアプリケーションをバンドル、配布、インストールするために使用できる Windows アプリケーション パッケージの形式です。それにもかかわらず、MSIX は正規のコード署名証明書または盗まれたコード署名証明書へのアクセスに依存しているため、大量のリソースを持つグループにとって魅力的なターゲットとなっている点は注目に値します。
おとりとして使用された欺瞞的なソフトウェア インストーラーに基づいて、潜在的な被害者は、侵害された Web サイト、検索エンジン最適化 (SEO) 操作、悪意のある広告などのさまざまな方法を通じてこれらの MSIX パッケージをダウンロードするようにだまされていると考えられています。
感染方法
MSIX ファイルを起動すると、Windows ダイアログが表示され、「インストール」ボタンをクリックするよう求められます。これにより、PowerShell スクリプトを介して、「manojsinghnegi[.]com」にあるリモート サーバーから侵害されたシステムへの GHOSTPULSE の秘密のダウンロードがトリガーされます。
このプロセスは複数の段階で展開され、最初のペイロードは実行可能ファイルを含む TAR アーカイブ ファイルです。この実行可能ファイルは Oracle VM VirtualBox サービス (VBoxSVC.exe) を装いますが、実際には Notepad++ (gup.exe) にバンドルされている正規のバイナリです。
TAR アーカイブ内には、handoff.wav というファイルと、改ざんされたバージョンの libcurl.dll も含まれています。この DLL ファイルは、DLL サイドローディングに対する gup.exe の脆弱性を悪用して、感染プロセスを次の段階に進めるためにロードされます。
操作された DLL ファイルは、その後、handoff.wav の検査に進み、モジュール ストンピングとして知られる技術である mshtml.dll を通じてデコードおよび実行される暗号化されたペイロードを隠蔽します。このアクションは、GHOSTPULSE の最終的なロードにつながります。
GHOSTPULSE はローダーとして機能し、プロセス ドッペルゲンギングとして知られる別の方法を使用して、SectopRAT、Rhadamanthys、Vidar、Lumma、NetSupport RAT などの最終的なマルウェアの実行を開始します。