Carding 4 Carders
Professional
Была замечена новая кампания кибератак с использованием поддельных файлов пакетов приложений Windows MSIX для популярного программного обеспечения, такого как Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex, для распространения нового загрузчика вредоносных программ, получившего название GHOSTPULSE.
"MSIX - это формат пакета приложений для Windows, который разработчики могут использовать для упаковки, распространения и установки своих приложений пользователям Windows", - сказал исследователь Elastic Security Labs Джо Десимоне в техническом отчете, опубликованном на прошлой неделе.
"Однако MSIX требует доступа к приобретенным или украденным сертификатам подписи кода, что делает их пригодными для групп ресурсов выше среднего уровня".
На основе установщиков, используемых в качестве приманки, есть подозрение, что потенциальных жертв соблазняют загрузить пакеты MSIX с помощью известных методов, таких как скомпрометированные веб-сайты, отравление поисковой оптимизацией (SEO) или вредоносная реклама.
При запуске файла MSIX открывается окно Windows, предлагающее пользователям нажать кнопку Установить, что приводит к скрытой загрузке GHOSTPULSE на взломанный хост с удаленного сервера ("manojsinghnegi[.]com") с помощью сценария PowerShell.
Этот процесс проходит в несколько этапов, причем первой полезной нагрузкой является архивный файл TAR, содержащий исполняемый файл, который маскируется под службу Oracle VM VirtualBox (VBoxSVC.exe), но на самом деле это законный двоичный файл, который поставляется в комплекте с Notepad ++ (gup.exe).
В архиве TAR также присутствует handoff.wav и троянская версия libcurl.dll, которая загружается для перевода процесса заражения на следующую стадию, используя тот факт, что gup.exe уязвима для боковой загрузки DLL.
"PowerShell выполняет двоичный файл VBoxSVC.exe который загрузит вредоносную DLL libcurl.dll из текущего каталога", - сказал Десимоне. "Сводя к минимуму объем зашифрованного вредоносного кода на диске, исполнитель угрозы может избежать сканирования файлов на основе AV и ML".
Впоследствии измененный DLL-файл обрабатывается путем анализа handoff.wav, который, в свою очередь, содержит зашифрованную полезную нагрузку, которая декодируется и выполняется с помощью mshtml.dll метод, известный как stomping модуля, чтобы в конечном итоге загрузить GHOSTPULSE.
GHOSTPULSE действует как загрузчик, используя другой метод, известный как дублирование процесса, чтобы запустить выполнение конечного вредоносного ПО, которое включает SectopRAT, Rhadamanthys, Vidar, Lumma и NetSupport RAT.
