Logiciel malveillant GHOSTPULSE
Une campagne de cyberattaque furtive a été détectée, impliquant l'utilisation de faux fichiers de packages d'applications MSIX Windows pour des logiciels bien connus tels que Google Chrome, Microsoft Edge, Brave, Grammarly et Cisco Webex. Ces fichiers dangereux sont utilisés pour diffuser un nouveau type de chargeur de malware appelé GHOSTPULSE.
MSIX est un format de package d'application Windows que les développeurs peuvent utiliser pour empaqueter, distribuer et installer leurs logiciels sur les systèmes Windows. Cependant, il est important de noter que la création et l'utilisation de fichiers MSIX nécessitent l'accès à des certificats de signature de code obtenus légitimement ou illégalement, ce qui rend cette méthode particulièrement attrayante pour les groupes de pirates informatiques bien financés et ingénieux.
Table des matières
Les attaquants utilisent diverses tactiques de leurre pour diffuser le logiciel malveillant GHOSTPULSE
Sur la base des installateurs d'appâts utilisés dans ce système, il est suspecté que les victimes potentielles soient induites en erreur en téléchargeant les packages MSIX en utilisant des techniques bien connues, notamment des sites Web compromis, un empoisonnement par l'optimisation des moteurs de recherche (SEO) ou des publicités frauduleuses (publicité malveillante).
Lorsque le fichier MSIX est exécuté, une invite Windows apparaît, invitant les utilisateurs à cliquer sur le bouton « Installer ». Ce faisant, GHOSTPULSE est téléchargé silencieusement sur l'hôte compromis à partir d'un serveur distant (en particulier « manojsinghnegi[.]com ») via un script PowerShell.
Ce processus se déroule en plusieurs étapes, la charge utile initiale étant un fichier d'archive TAR. Cette archive contient un exécutable qui se présente comme le service Oracle VM VirtualBox (VBoxSVC.exe), mais en réalité, il s'agit d'un binaire légitime fourni avec Notepad++ (gup.exe).
De plus, dans l'archive TAR, il existe un fichier nommé handoff.wav et une version trojanisée de libcurl.dll. Ce libcurl.dll modifié est chargé pour faire progresser le processus d'infection à l'étape suivante en exploitant une vulnérabilité de gup.exe via le chargement latéral de DLL.
Les techniques multiples et nuisibles impliquées dans la chaîne d’infection des logiciels malveillants GHOSTPULSE
Le script PowerShell lance l'exécution du binaire VBoxSVC.exe, qui, à son tour, effectue le chargement latéral de la DLL en chargeant la DLL corrompue libcurl.dll à partir du répertoire actuel. Cette méthode permet à l'auteur de la menace de minimiser la présence sur le disque de code malveillant crypté, ce qui lui permet d'échapper à la détection par l'antivirus basé sur les fichiers et l'analyse par apprentissage automatique.
Ensuite, le fichier DLL manipulé procède à l'analyse de handoff.wav. Dans ce fichier audio, une charge utile cryptée est dissimulée, qui est ensuite décodée et exécutée via mshtml.dll. Cette technique, connue sous le nom de module stomping, est utilisée pour lancer finalement GHOSTPULSE.
GHOSTPULSE fonctionne comme un chargeur et utilise une autre technique appelée processus de doppelgänging pour lancer l'exécution de l'ensemble final de logiciels malveillants, qui comprend SectopRAT , Rhadamanthys , Vidar, Lumma et NetSupport RAT .
Les conséquences pour les victimes d’attaques de logiciels malveillants peuvent être graves
Une infection par un cheval de Troie d'accès à distance (RAT) entraîne plusieurs conséquences désastreuses sur les appareils des utilisateurs, ce qui en fait l'un des types de logiciels malveillants les plus dangereux. Premièrement, un RAT accorde un accès et un contrôle non autorisés aux acteurs malveillants, leur permettant d'observer, de manipuler et de voler secrètement des informations sensibles sur l'appareil infecté. Cela inclut l'accès aux fichiers personnels, aux identifiants de connexion, aux données financières et même à la possibilité de surveiller et d'enregistrer les frappes au clavier, ce qui en fait un outil puissant pour le vol d'identité et l'espionnage. Ces activités peuvent entraîner des pertes financières, des atteintes à la vie privée et la compromission des données personnelles et professionnelles.
De plus, les infections RAT peuvent avoir des impacts dévastateurs sur la confidentialité et la sécurité des utilisateurs. Les acteurs impliqués dans la fraude peuvent utiliser les RAT pour allumer des webcams et des microphones, espionnant ainsi efficacement les victimes chez elles. Cette intrusion dans les espaces personnels porte non seulement atteinte à la vie privée mais peut également conduire à du chantage ou à la diffusion de contenus compromettants. De plus, les RAT peuvent être utilisés pour transformer les appareils infectés en un réseau de zombies, qui peut lancer des cyberattaques à grande échelle, distribuer des logiciels malveillants à d'autres systèmes ou mener des activités criminelles au nom de l'attaquant. En fin de compte, les infections RAT sapent la confiance dans l’environnement numérique, érodent la sécurité personnelle et peuvent avoir des conséquences graves et durables pour les individus, les entreprises et même les nations.
