GHOSTPULSE kenkėjiška programa plinta per netikras MSIX programas
Neseniai buvo aptikta kibernetinės atakos kampanija, kurioje naudojami netikri MSIX Windows programų paketų failai, skirti gerai žinomai programinei įrangai, pvz., Google Chrome, Microsoft Edge, Brave, Grammarly ir Cisco Webex, kaip priemonė platinti naują kenkėjiškų programų įkroviklį, pavadintą GHOSTPULSE.
MSIX yra „Windows“ programų paketų formatas, kurį kūrėjai gali naudoti norėdami susieti, platinti ir įdiegti savo programas „Windows“ sistemose, kaip paaiškino Elastic Security Labs tyrėjas Joe Desimone naujausioje techninėje ataskaitoje. Nepaisant to, verta paminėti, kad MSIX priklauso nuo prieigos prie teisėtų arba pavogtų kodo pasirašymo sertifikatų, todėl jis yra patrauklus taikinys grupėms, turinčioms didelių išteklių.
Remiantis apgaulingomis programinės įrangos diegimo programomis, naudojamomis kaip masalas, įtariama, kad potencialios aukos yra apgaudinėjamos atsisiųsti šiuos MSIX paketus įvairiais būdais, įskaitant pažeistas svetaines, manipuliavimą paieškos sistemų optimizavimu (SEO) ar kenkėjišką reklamą.
Infekcijos metodas
Paleidus MSIX failą, Windows dialogo langas ragina vartotojus spustelėti mygtuką "Įdiegti". Tai suaktyvina slaptą GHOSTPULSE atsisiuntimą į pažeistą sistemą iš nuotolinio serverio, esančio adresu "manojsinghnegi[.]com", naudojant PowerShell scenarijų.
Šis procesas vyksta keliais etapais, o pradinė naudingoji apkrova yra TAR archyvo failas, kuriame yra vykdomasis failas. Šis vykdomasis failas apsimeta esanti „Oracle VM VirtualBox“ paslauga (VBoxSVC.exe), tačiau iš tikrųjų tai yra teisėtas dvejetainis failas, susietas su „Notepad++“ (gup.exe).
TAR archyve taip pat yra failas handoff.wav ir sugadinta libcurl.dll versija. Šis DLL failas įkeliamas, kad užkrėtimo procesas būtų perkeltas į kitą etapą, išnaudojant gup.exe pažeidžiamumą į DLL šoninį įkėlimą.
Manipuliuojamas DLL failas vėliau tiriamas handoff.wav, kuris savo ruožtu slepia užšifruotą naudingą apkrovą, kuri iššifruojama ir vykdoma naudojant mshtml.dll, techniką, vadinamą modulio stabdymu. Šis veiksmas veda į galutinį GHOSTPULSE įkėlimą.
GHOSTPULSE veikia kaip įkroviklis ir naudoja kitą metodą, žinomą kaip proceso dubliavimas, kad pradėtų vykdyti galutinę kenkėjišką programą, kuri apima SectopRAT, Rhadamanthys, Vidar, Lumma ir NetSupport RAT.