Вредоносное ПО GHOSTPULSE распространяется через поддельные приложения MSIX

Была обнаружена недавняя кампания кибератак с использованием поддельных файлов пакетов приложений Windows MSIX для известного программного обеспечения, такого как Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex, в качестве средства распространения нового загрузчика вредоносного ПО под названием GHOSTPULSE.

MSIX — это формат пакетов приложений Windows, который разработчики могут использовать для объединения, распространения и установки своих приложений в системах Windows, как объяснил исследователь Elastic Security Labs Джо Дезимон в недавнем техническом отчете. Тем не менее, стоит отметить, что MSIX полагается на доступ к законным или украденным сертификатам подписи кода, что делает его привлекательной целью для групп со значительными ресурсами.

На основании мошеннических установщиков программного обеспечения, используемых в качестве приманки, предполагается, что потенциальных жертв обманом заставляют загрузить эти пакеты MSIX с помощью различных методов, включая взломанные веб-сайты, манипуляции с поисковой оптимизацией (SEO) или вредоносную рекламу.

Способ заражения

После запуска файла MSIX диалоговое окно Windows предлагает пользователям нажать кнопку «Установить». Это приведет к тайной загрузке GHOSTPULSE в скомпрометированную систему с удаленного сервера, расположенного по адресу «manojsinghnegi[.]com», через сценарий PowerShell.

Этот процесс разворачивается в несколько этапов, причем первоначальная полезная нагрузка представляет собой архивный файл TAR, содержащий исполняемый файл. Этот исполняемый файл выдает себя за службу Oracle VM VirtualBox (VBoxSVC.exe), но на самом деле это законный двоичный файл, входящий в состав Notepad++ (gup.exe).

Внутри архива TAR также есть файл Handoff.wav и измененная версия libcurl.dll. Этот файл DLL загружается для продвижения процесса заражения на следующий этап путем использования уязвимости gup.exe к боковой загрузке DLL.

Затем обработанный файл DLL исследует файл Handoff.wav, который, в свою очередь, скрывает зашифрованные полезные данные, которые декодируются и выполняются с помощью mshtml.dll — метод, известный как топание модуля. Это действие приводит к окончательной загрузке GHOSTPULSE.

GHOSTPULSE выполняет роль загрузчика и использует другой метод, известный как дублирование процесса, для инициирования выполнения окончательного вредоносного ПО, в которое входят SectopRAT, Rhadamanthys, Vidar, Lumma и NetSupport RAT.