محققان امنیتی شرکت Elastice Security کمپین سایبری جدیدی شناسایی کردهاند که از فایلهای پکیج ویندوز (MSIX) در برنامههای کاربردی مانند Brave، Microsoft Edge، Google Chrome، Grammarly و Cisco Webex استفاده کرده و بدافزار جدیدی با نام GhostPulse را توزیع میکنند.
طبق گزارش منتشر شده از این شرکت: «MSIX یک فرمت پکیج ویندوز است که توسعهدهندگان از آن برای بستهبندی، توزیع و نصب برنامههای کاربردی خود برای کاربران ویندوز استفاده میکنند که متشکل از دو فرمت قبلی Appx و MSI است. با این حال، MSIX نیاز به دسترسی به گواهیهای امضاء کد خریداری شده دارد و از آنها برای گروهی از منابع قابل دسترس استفاده میکند.»
با راهاندازی فایل MSIX یک صفحه جدید باز میشود که از کاربران میخواهد روی دکمه Install کلیک کنند. این کار منجر به اجرای اسکریپت مخرب روی سیستم میشود که با اجرای آن یک بدافزار به نام GhostPulse از یک سرور راه دور با آدرس manojsinghnegi[.]com به سیستم نفوذ میکند.
این فرآیند طی چندین مرحله صورت میگیرد، اولین مرحله پیلود یک فایل آرشیو TAR است که حاوی یک فایل اجرایی بوده و با عنوان Oracle VM VirtualBox Service (VBoxSVC.exe) شناخته میشود اما در واقع یک فایل باینری میباشد که با Notepad++ (gup.exe) همراه است.
همچنین در فایل آرشیو TAR یک فایل handoff.wav وجود دارد که یک نسخه تروجان شده از libcurl.dll بوده و با بهرهبرداری از gup.exe از تکنیک بارگذاری جانبی DLL استفاده کرده و برای انتقال فرآیند آلودگی در مرحله بعدی بارگذاری میشود. Powershell فایل باینری VBoxSVC.exe را اجرا کرده و از دایرکتوری فعلی DLL مخرب libcurl.dll را بارگیری میکند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، مهاجم میتواند از اسکن توسط آنتیویروس و روشهای مبتنی بر ML فرار کند.
در مرحله بعدی فایل DLL دستکاری شده یک پیلود رمزگذاری شده را بستهبندی کرده و از طریق mshtml.dll رمزگشایی و اجرا میشود، این اجرا منجر به بارگذاری بدافزار اصلی یعنی GhostPulse خواهد شد.
GhostPulse به عنوان یک loader عمل کرده و از تکنیک دیگری به صورت فرآیند doppelgänging برای شروع اجرای بدافزار نهایی استفاده میکند که شامل بدافزارهای Lumma، Vider، Rhadamanthys، SectopRAT و NetSupport RAT است.
توصیههای امنیتی
تحلیلهای صورت گرفته بر روی این بدافزار نشان میدهد که نقطه ورود این بدافزار ایمیلهای آلوده و کلیک بر روی تبلیغات جعلی هستند که باعث آلودگی سیستم و یا شبکه سازمانی میشوند. لذا توصیه میشود که از کلیک بر روی این تبلیغات و باز کردن ایمیلهای ناشناخته و هرزنامه خودداری کرده و از یک آنتیویروس معتبر استفاده شود.
منبع خبر:
https://cert.ir/node/5909