انتشار بدافزار GhostPulse با بهره‌برداری از فرمت جدید MSIX

انتشار بدافزار GhostPulse با بهره‌برداری از فرمت جدید MSIX

تاریخ ایجاد

محققان امنیتی شرکت Elastice Security کمپین سایبری جدیدی شناسایی کرده‌‌‌‌اند که از فایل‌های پکیج‌‌‌‌ ویندوز (MSIX) در برنامه‌‌‌‌های کاربردی مانند Brave، Microsoft Edge، Google Chrome، Grammarly و Cisco Webex استفاده کرده و بدافزار جدیدی با نام GhostPulse را توزیع می‌‌‌‌کنند.
طبق گزارش منتشر شده از این شرکت: «MSIX یک فرمت پکیج‌‌‌‌ ویندوز است که توسعه‌‌‌‌دهندگان از آن برای بسته‌‌‌‌بندی، توزیع و نصب برنامه‌‌‌‌های کاربردی خود برای کاربران ویندوز استفاده می‌‌‌‌کنند که متشکل از دو فرمت قبلی Appx و MSI است. با این حال، MSIX نیاز به دسترسی به گواهی‌‌‌‌های امضاء کد خریداری شده دارد و از آن‌‌‌‌ها برای گروهی از منابع قابل دسترس استفاده می‌‌‌‌کند.»
با راه‌‌‌‌اندازی فایل MSIX یک صفحه جدید باز می‌‌‌‌شود که از کاربران می‌‌‌‌خواهد روی دکمه Install کلیک کنند. این کار منجر به اجرای اسکریپت مخرب روی سیستم می‌‌‌‌شود که با اجرای آن یک بدافزار به نام GhostPulse از یک سرور راه‌‌‌‌ دور با آدرس manojsinghnegi[.]com به سیستم نفوذ می‌‌‌‌کند.
این فرآیند طی چندین مرحله صورت می‌‌‌‌گیرد، اولین مرحله پیلود یک فایل آرشیو TAR است که حاوی یک فایل اجرایی بوده و با عنوان Oracle VM VirtualBox Service (VBoxSVC.exe) شناخته می‌‌‌‌شود اما در واقع یک فایل باینری می‌‌‌‌باشد که با Notepad++ (gup.exe) همراه است.
همچنین در فایل آرشیو TAR یک فایل handoff.wav وجود دارد که یک نسخه تروجان شده از libcurl.dll بوده و با بهره‌برداری از gup.exe از تکنیک بارگذاری جانبی DLL استفاده کرده و برای انتقال فرآیند آلودگی در مرحله بعدی بارگذاری می‌‌‌‌شود. Powershell فایل باینری VBoxSVC.exe را اجرا کرده و از دایرکتوری فعلی DLL مخرب libcurl.dll را بارگیری می‌‌‌‌کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، مهاجم می‌‌‌‌تواند از اسکن توسط آنتی‌‌‌‌ویروس و روش‌‌‌‌های مبتنی ‌‌‌‌بر ML فرار کند.
در مرحله بعدی فایل DLL دستکاری شده یک پیلود رمزگذاری شده را بسته‌‌‌‌بندی کرده و از طریق mshtml.dll رمزگشایی و اجرا می‌‌‌‌شود، این اجرا منجر به بارگذاری بدافزار اصلی یعنی GhostPulse خواهد شد.
GhostPulse به عنوان یک loader عمل کرده و از تکنیک دیگری به صورت فرآیند doppelgänging برای شروع اجرای بدافزار نهایی استفاده می‌‌‌‌کند که شامل بدافزارهای Lumma، Vider، Rhadamanthys، SectopRAT و NetSupport RAT است.
 

توصیه‌‌‌‌‌های امنیتی
تحلیل‌‌‌‌‌های صورت گرفته بر روی این بدافزار نشان می‌‌‌‌‌دهد که نقطه ورود این بدافزار ایمیل‌‌‌‌‌های آلوده و کلیک بر روی تبلیغات جعلی هستند که باعث آلودگی سیستم و یا شبکه سازمانی می‌‌‌‌‌شوند. لذا توصیه می‌شود که از کلیک بر روی این تبلیغات و باز کردن ایمیل‌‌‌‌‌های ناشناخته و هرزنامه خودداری کرده و از یک آنتی‌‌‌‌‌ویروس معتبر استفاده شود.
 

منبع خبر:
 

[1] https://thehackernews.com/2023/10/hackers-using-msix-app-packages-to.html