Złośliwe oprogramowanie GHOSTPULSE rozprzestrzenia się poprzez fałszywe aplikacje MSIX
Wykryto niedawną kampanię cyberataków wykorzystującą fałszywe pliki pakietów aplikacji MSIX Windows dla dobrze znanego oprogramowania, takiego jak Google Chrome, Microsoft Edge, Brave, Grammarly i Cisco Webex, w celu rozpowszechniania nowego modułu ładującego złośliwe oprogramowanie o nazwie GHOSTPULSE.
MSIX to format pakietów aplikacji dla systemu Windows, którego programiści mogą używać do tworzenia pakietów, dystrybucji i instalowania swoich aplikacji w systemach Windows, jak wyjaśnił Joe Desimone, badacz z Elastic Security Labs w niedawnym raporcie technicznym. Niemniej jednak warto zauważyć, że MSIX opiera się na dostępie do legalnych lub skradzionych certyfikatów do podpisywania kodu, co czyni go atrakcyjnym celem dla grup dysponujących znacznymi zasobami.
Na podstawie zwodniczych instalatorów oprogramowania używanych jako przynęta istnieje podejrzenie, że potencjalne ofiary zostają oszukane do pobrania pakietów MSIX różnymi metodami, w tym za pomocą zainfekowanych witryn internetowych, manipulacji optymalizacją wyszukiwarek (SEO) lub złośliwymi reklamami.
Metoda infekcji
Po uruchomieniu pliku MSIX okno dialogowe systemu Windows monituje użytkowników o kliknięcie przycisku „Zainstaluj”. Spowoduje to potajemne pobranie GHOSTPULSE na zaatakowany system ze zdalnego serwera znajdującego się pod adresem „manojsinghnegi[.]com” za pośrednictwem skryptu PowerShell.
Proces ten składa się z wielu etapów, a początkowym ładunkiem jest plik archiwum TAR zawierający plik wykonywalny. Ten plik wykonywalny udaje usługę Oracle VM VirtualBox (VBoxSVC.exe), ale w rzeczywistości jest to legalny plik binarny dołączony do Notepad++ (gup.exe).
Wewnątrz archiwum TAR znajduje się także plik o nazwie handoff.wav i zmodyfikowana wersja libcurl.dll. Ten plik DLL jest ładowany, aby przejść proces infekcji do następnego etapu poprzez wykorzystanie luki gup.exe w przypadku bocznego ładowania biblioteki DLL.
Zmanipulowany plik DLL następnie sprawdza plik handoff.wav, który z kolei ukrywa zaszyfrowany ładunek, który jest dekodowany i wykonywany za pomocą pliku mshtml.dll, co jest techniką znaną jako stomping modułów. Ta akcja prowadzi do ostatecznego załadowania GHOSTPULSE.
GHOSTPULSE pełni funkcję modułu ładującego i wykorzystuje inną metodę znaną jako doppelgänging procesów w celu zainicjowania wykonania końcowego szkodliwego oprogramowania, do którego zaliczają się SectopRAT, Rhadamanthys, Vidar, Lumma i NetSupport RAT.