Malware GHOSTPULSE se espalha por meio de aplicativos MSIX falsos
Uma recente campanha de ataque cibernético foi detectada, utilizando arquivos falsos de pacotes de aplicativos MSIX do Windows para softwares conhecidos como Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex como meio de disseminar um novo carregador de malware chamado GHOSTPULSE.
MSIX é um formato para pacotes de aplicativos Windows que os desenvolvedores podem usar para agrupar, distribuir e instalar seus aplicativos em sistemas Windows, conforme explicado pelo pesquisador do Elastic Security Labs, Joe Desimone, em um relatório técnico recente. No entanto, vale a pena notar que o MSIX depende do acesso a certificados de assinatura de código legítimos ou roubados, o que o torna um alvo atraente para grupos com recursos significativos.
Com base nos instaladores de software fraudulentos usados como isco, suspeita-se que as potenciais vítimas são enganadas para descarregar estes pacotes MSIX através de vários métodos, incluindo sites comprometidos, manipulação de otimização de mecanismos de pesquisa (SEO) ou publicidade maliciosa.
Método de infecção
Ao iniciar o arquivo MSIX, uma caixa de diálogo do Windows solicita que os usuários cliquem no botão “Instalar”. Isso aciona o download clandestino do GHOSTPULSE no sistema comprometido a partir de um servidor remoto localizado em “manojsinghnegi[.]com” por meio de um script do PowerShell.
Esse processo se desenvolve em vários estágios, com a carga inicial sendo um arquivo TAR que contém um executável. Este executável finge ser o serviço Oracle VM VirtualBox (VBoxSVC.exe), mas é, na verdade, um binário legítimo incluído no Notepad++ (gup.exe).
Dentro do arquivo TAR, há também um arquivo chamado handoff.wav e uma versão adulterada de libcurl.dll. Este arquivo DLL é carregado para avançar o processo de infecção para o próximo estágio, explorando a vulnerabilidade do gup.exe ao carregamento lateral de DLL.
O arquivo DLL manipulado subsequentemente examina handoff.wav, que, por sua vez, oculta uma carga criptografada que é decodificada e executada por meio de mshtml.dll, uma técnica conhecida como module stomping. Esta ação leva ao carregamento final do GHOSTPULSE.
GHOSTPULSE serve como carregador e emprega outro método conhecido como doppelgänging de processo para iniciar a execução do malware final, que inclui SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.