GHOSTPULSE Malware spres gjennom falske MSIX-applikasjoner

En nylig cyberangrepskampanje har blitt oppdaget, som bruker falske MSIX Windows-applikasjonspakkefiler for velkjent programvare som Google Chrome, Microsoft Edge, Brave, Grammarly og Cisco Webex som et middel til å spre en ny malware-laster kalt GHOSTPULSE.

MSIX er et format for Windows-applikasjonspakker som utviklere kan bruke til å samle, distribuere og installere applikasjonene sine på Windows-systemer, som forklart av Elastic Security Labs-forsker Joe Desimone i en fersk teknisk rapport. Likevel er det verdt å merke seg at MSIX er avhengig av tilgang til legitime eller stjålne kodesigneringssertifikater, noe som gjør det til et attraktivt mål for grupper med betydelige ressurser.

Basert på de villedende programvareinstallatørene som brukes som lokkemiddel, mistenkes det at potensielle ofre blir lurt til å laste ned disse MSIX-pakkene gjennom ulike metoder, inkludert kompromitterte nettsteder, manipulasjon av søkemotoroptimalisering (SEO) eller ondsinnet reklame.

Infeksjonsmetode

Når MSIX-filen startes, ber en Windows-dialogboks brukere klikke på "Installer"-knappen. Å gjøre det utløser hemmelig nedlasting av GHOSTPULSE til det kompromitterte systemet fra en ekstern server plassert på "manojsinghnegi[.]com" via et PowerShell-skript.

Denne prosessen utfolder seg i flere stadier, med den første nyttelasten som en TAR-arkivfil som inneholder en kjørbar fil. Denne kjørbare filen utgir seg for å være Oracle VM VirtualBox-tjenesten (VBoxSVC.exe), men den er faktisk en legitim binær sammen med Notepad++ (gup.exe).

Inne i TAR-arkivet er det også en fil kalt handoff.wav og en manipulert versjon av libcurl.dll. Denne DLL-filen lastes inn for å fremme infeksjonsprosessen til neste trinn ved å utnytte sårbarheten til gup.exe til DLL-sidelasting.

Den manipulerte DLL-filen fortsetter deretter med å undersøke handoff.wav, som igjen skjuler en kryptert nyttelast som dekodes og kjøres gjennom mshtml.dll, en teknikk kjent som modulstamping. Denne handlingen fører til den ultimate lasting av GHOSTPULSE.

GHOSTPULSE fungerer som en loader og bruker en annen metode kjent som prosessdoppelgänging for å starte kjøringen av den endelige skadevare, som inkluderer SectopRAT, Rhadamanthys, Vidar, Lumma og NetSupport RAT.