GHOSTPULSE-Malware
Es wurde eine heimliche Cyberangriffskampagne entdeckt, bei der gefälschte MSIX-Windows-Anwendungspaketdateien für bekannte Software wie Google Chrome, Microsoft Edge, Brave, Grammarly und Cisco Webex verwendet wurden. Diese unsicheren Dateien werden verwendet, um einen neuen Typ von Malware-Loader namens GHOSTPULSE zu verbreiten.
MSIX ist ein Windows-Anwendungspaketformat, das Entwickler zum Verpacken, Verteilen und Installieren ihrer Software auf Windows-Systemen verwenden können. Es ist jedoch wichtig zu beachten, dass das Erstellen und Verwenden von MSIX-Dateien Zugriff auf rechtmäßig erworbene oder illegal erworbene Codesignaturzertifikate erfordert, was diese Methode besonders für finanzkräftige und einfallsreiche Hackergruppen attraktiv macht.
Inhaltsverzeichnis
Angreifer nutzen verschiedene Locktaktiken, um die GHOSTPULSE-Malware zu verbreiten
Basierend auf den in diesem Schema verwendeten Köderinstallationsprogrammen wird vermutet, dass potenzielle Opfer mithilfe bekannter Techniken, einschließlich kompromittierter Websites, Search Engine Optimization (SEO) Poisoning oder betrügerischer Werbung (Malvertising), dazu verleitet werden, die MSIX-Pakete herunterzuladen.
Wenn die MSIX-Datei ausgeführt wird, erscheint eine Windows-Eingabeaufforderung, die Benutzer dazu auffordert, auf die Schaltfläche „Installieren“ zu klicken. Dabei wird GHOSTPULSE über ein PowerShell-Skript stillschweigend von einem Remote-Server (insbesondere „manojsinghnegi[.]com“) auf den gefährdeten Host heruntergeladen.
Dieser Prozess verläuft über mehrere Phasen, wobei die anfängliche Nutzlast eine TAR-Archivdatei ist. Dieses Archiv enthält eine ausführbare Datei, die sich als Oracle VM VirtualBox-Dienst ausgibt (VBoxSVC.exe), in Wirklichkeit handelt es sich jedoch um eine legitime Binärdatei, die mit Notepad++ gebündelt ist (gup.exe).
Darüber hinaus gibt es im TAR-Archiv eine Datei namens handoff.wav und eine trojanisierte Version von libcurl.dll. Diese geänderte libcurl.dll wird geladen, um den Infektionsprozess auf die nächste Stufe zu bringen, indem eine Schwachstelle in gup.exe durch DLL-Sideloading ausgenutzt wird.
Die zahlreichen schädlichen Techniken, die in der GHOSTPULSE-Malware-Infektionskette involviert sind
Das PowerShell-Skript initiiert die Ausführung der Binärdatei VBoxSVC.exe, die wiederum das seitliche Laden der DLL durchführt, indem sie die beschädigte DLL libcurl.dll aus dem aktuellen Verzeichnis lädt. Mit dieser Methode kann der Bedrohungsakteur das Vorhandensein von verschlüsseltem Schadcode auf der Festplatte minimieren und so der Erkennung durch dateibasierte Antiviren- und maschinelle Lernscans entgehen.
Anschließend erfolgt die Analyse der manipulierten DLL-Datei handoff.wav. In dieser Audiodatei ist eine verschlüsselte Nutzlast verborgen, die anschließend über mshtml.dll dekodiert und ausgeführt wird. Diese als Module Stomping bekannte Technik wird verwendet, um GHOSTPULSE letztendlich zu starten.
GHOSTPULSE fungiert als Loader und nutzt eine andere Technik namens Prozess-Doppelgänging, um die Ausführung der letzten Schadsoftware zu initiieren, zu der SectopRAT , Rhadamanthys , Vidar, Lumma und NetSupport RAT gehören.
Die Folgen für Opfer von Malware-Angriffen können schwerwiegend sein
Eine RAT-Infektion (Remote Access Trojan) hat mehrere schwerwiegende Folgen für die Geräte der Benutzer und ist damit eine der gefährlichsten Arten von Malware. Erstens gewährt ein RAT böswilligen Akteuren unbefugten Zugriff und Kontrolle und ermöglicht es ihnen, das infizierte Gerät heimlich zu beobachten, zu manipulieren und vertrauliche Informationen zu stehlen. Dazu gehört der Zugriff auf persönliche Dateien, Anmeldeinformationen, Finanzdaten und sogar die Möglichkeit, Tastenanschläge zu überwachen und aufzuzeichnen, was es zu einem wirksamen Werkzeug für Identitätsdiebstahl und Spionage macht. Diese Aktivitäten können zu finanziellen Verlusten, Datenschutzverletzungen und der Gefährdung persönlicher und beruflicher Daten führen.
Darüber hinaus können RAT-Infektionen verheerende Auswirkungen auf die Privatsphäre und Sicherheit der Benutzer haben. Betrugsakteure können RATs verwenden, um Webcams und Mikrofone einzuschalten und so Opfer effektiv in ihren eigenen vier Wänden auszuspionieren. Dieses Eindringen in persönliche Räume verletzt nicht nur die Privatsphäre, sondern kann auch zu Erpressung oder der Verbreitung kompromittierender Inhalte führen. Darüber hinaus können RATs verwendet werden, um infizierte Geräte in ein Botnetz zu verwandeln, das groß angelegte Cyberangriffe starten, Malware auf andere Systeme verteilen oder im Auftrag des Angreifers kriminelle Aktivitäten durchführen kann. Letztendlich untergraben RAT-Infektionen das Vertrauen in die digitale Umgebung, untergraben die persönliche Sicherheit und können langfristige, schwerwiegende Folgen für Einzelpersonen, Unternehmen und sogar Nationen haben.
