MKD-CIRT National Centre for Computer Incident Response
Забележана е нова кампања за сајбер напади користејќи лажни датотеки со пакети со апликации MSIX Windows за популарниот софтвер како што се Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex за дистрибуција на нов натоварувач на малициозен софтвер наречен GHOSTPULSE .
„MSIX е формат на пакет за апликации за Windows што програмерите можат да го искористат за да ги пакуваат, дистрибуираат и инсталираат нивните апликации до корисниците на Windows“, рече истражувачот на „Elastic Security Labs“, Џо Дезимон во техничкиот извештај објавен минатата недела.
„Сепак, MSIX бара пристап до купени или украдени сертификати за потпишување код што ги прави остварливи за групи на натпросечни ресурси“.
Врз основа на инсталатерите што се користат како мамки, постои сомневање дека потенцијалните цели се намамени да ги преземаат пакетите MSIX преку познати техники како што се компромитирани веб-локации, труење со оптимизација на пребарувачите (SEO) или погрешно рекламирање.
Со лансирање на датотеката MSIX се отвора Windows кој ги поттикнува корисниците да кликнат на копчето Инсталирај, што резултира со прикриено преземање на GHOSTPULSE на компромитиран домаќин од оддалечен сервер („manojsinghnegi[.]com“) преку скрипта PowerShell.
Овој процес се одвива во повеќе фази, при што првата носивост е архивска датотека TAR што содржи извршна датотека што се маскира како услугата Oracle VM VirtualBox (VBoxSVC.exe), но во реалноста е легитимен бинар кој е во комплет со Notepad++ (gup.exe).
Исто така присутен во архивата на TAR е handoff.wav и тројанизирана верзија на libcurl.dll што е вчитана за да го однесе процесот на инфекција во следната фаза со искористување на фактот дека gup.exe е ранлив на странично вчитување на DLL .
„PowerShell го извршува бинарниот VBoxSVC.exe што ќе го вчита странично од тековниот директориум, злонамерниот DLL libcurl.dll“, рече Дезимон. „Со минимизирање на отпечатокот на шифриран злонамерен код на дискот, актерот за закана може да избегне скенирање AV и ML базирано на датотеки“.
Измешаната DLL-датотека последователно продолжува со парсирање на handoff.wav, што пак, пакува шифрирана носивост што е декодирана и извршена преку mshtml.dll, метод познат како газење на модулот , за на крајот да се вчита GHOSTPULSE.
GHOSTPULSE делува како натоварувач, употребувајќи друга техника позната како процесно допирање за да го започне извршувањето на финалниот малициозен софтвер, кој ги вклучува SectopRAT, Rhadamanthys, Vidar, Lumma и NetSupport RAT.
Извор: (thehackernews.com)