GHOSTPULSE マルウェア
Google Chrome、Microsoft Edge、Brave、Grammarly、Cisco Webex などの有名なソフトウェアに対する偽の MSIX Windows アプリケーション パッケージ ファイルの使用を伴う、ステルス サイバー攻撃キャンペーンが検出されました。これらの安全でないファイルは、GHOSTPULSE と呼ばれる新しいタイプのマルウェア ローダーを広めるために使用されています。
MSIX は、開発者がソフトウェアをパッケージ化し、配布し、Windows システムにインストールするために使用できる Windows アプリケーション パッケージ形式です。ただし、MSIX ファイルを作成して使用するには、合法的に取得した、または違法に取得したコード署名証明書にアクセスする必要があることに注意することが重要です。そのため、この方法は、資金とリソースが豊富なハッカー グループにとって特に魅力的です。
目次
攻撃者はさまざまなルアー戦術を使用して GHOSTPULSE マルウェアを配信します
このスキームで使用されているおとりインストーラーに基づくと、潜在的な被害者は、侵害された Web サイト、検索エンジン最適化 (SEO) ポイズニング、または詐欺的な広告 (マルバタイジング) などのよく知られた手法を使用して、MSIX パッケージをダウンロードするように誤解されていると疑われています。
MSIX ファイルが実行されると、Windows プロンプトが表示され、ユーザーに [インストール] ボタンをクリックするよう求めます。これを実行すると、GHOSTPULSE が PowerShell スクリプトを介してリモート サーバー (具体的には「manojsinghnegi[.]com」) から侵害されたホストにサイレントにダウンロードされます。
このプロセスは複数の段階にわたって展開され、最初のペイロードは TAR アーカイブ ファイルです。このアーカイブには、Oracle VM VirtualBox サービス (VBoxSVC.exe) を装った実行可能ファイルが含まれていますが、実際には、Notepad++ (gup.exe) にバンドルされている正規のバイナリです。
さらに、TAR アーカイブ内には、handoff.wav という名前のファイルと、トロイの木馬化されたバージョンの libcurl.dll が存在します。この変更された libcurl.dll は、DLL サイドローディングを通じて gup.exe の脆弱性を悪用し、感染プロセスを次の段階に進めるためにロードされます。
GHOSTPULSE マルウェア感染チェーンに関与する複数の有害な手法
PowerShell スクリプトはバイナリ VBoxSVC.exe の実行を開始し、次に破損した DLL libcurl.dll を現在のディレクトリからロードすることによって DLL サイドローディングを実行します。この方法により、攻撃者は暗号化された悪意のあるコードがディスク上に存在することを最小限に抑えることができ、ファイルベースのウイルス対策スキャンや機械学習スキャンによる検出を回避できるようになります。
これに続いて、操作された DLL ファイルは handoff.wav の分析に進みます。このオーディオ ファイル内には、暗号化されたペイロードが隠蔽されており、その後、mshtml.dll を通じてデコードされて実行されます。モジュールストンピングとして知られるこの手法は、最終的に GHOSTPULSE を起動するために使用されます。
GHOSTPULSE はローダーとして機能し、プロセス ドッペルゲンギングと呼ばれる別の手法を使用して、 SectopRAT 、 Rhadamanthys 、 Vidar、 Lumma 、 NetSupport RATなどのマルウェアの最終セットの実行を開始します。
マルウェア攻撃の被害者には深刻な影響が及ぶ可能性がある
リモート アクセス トロイの木馬 (RAT) 感染は、ユーザーのデバイスにいくつかの悲惨な結果をもたらし、最も危険な種類のマルウェアの 1 つとなります。まず、RAT は悪意のある攻撃者に不正なアクセスと制御を許可し、感染したデバイスから機密情報を秘密裏に観察、操作、盗むことを可能にします。これには、個人ファイル、ログイン資格情報、財務データへのアクセス、さらにはキーストロークを監視および記録する機能が含まれており、個人情報の盗難やスパイ活動の強力なツールとなります。これらの活動は、経済的損失、プライバシー侵害、個人データや職業データの侵害につながる可能性があります。
さらに、RAT 感染はユーザーのプライバシーとセキュリティに壊滅的な影響を与える可能性があります。詐欺関連の攻撃者は、RAT を使用して Web カメラとマイクをオンにし、自宅の被害者を効果的に監視することができます。この個人スペースへの侵入は、プライバシーを侵害するだけでなく、脅迫や侵害コンテンツの配布につながる可能性もあります。さらに、RAT を使用すると、感染したデバイスをボットネットの一部に変えることができ、大規模なサイバー攻撃を開始したり、他のシステムにマルウェアを配布したり、攻撃者に代わって犯罪活動を実行したりする可能性があります。最終的に、RAT 感染はデジタル環境への信頼を損ない、個人の安全を侵食し、個人、企業、さらには国家に長期にわたる深刻な影響を与える可能性があります。
