Hackers estão usando pacotes de aplicativos MSIX para infectar PCs Windows com o malware GhostPulse
30 de Outubro de 2023

Uma nova campanha de ataque cibernético foi observada usando arquivos de pacote de aplicativo MSIX do Windows para softwares populares como Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex para distribuir um novo carregador de malware chamado GHOSTPULSE.

"MSIX é um formato de pacote de aplicativo Windows que desenvolvedores podem usar para empacotar, distribuir e instalar suas aplicações para usuários Windows", disse o pesquisador Joe Desimone da Elastic Security Labs, em um relatório técnico publicado na semana passada.

"No entanto, o MSIX requer acesso a certificados de assinatura de código comprados ou roubados, tornando-os viáveis para grupos com recursos acima da média."

Com base nos instaladores usados como iscas, suspeita-se que possíveis alvos sejam atraídos para fazer o download dos pacotes MSIX através de técnicas conhecidas como sites comprometidos, otimização de motores de busca (SEO) ou malvertising.

Lançar o arquivo MSIX abre uma janela do Windows solicitando aos usuários que cliquem no botão Instalar, o que resulta no download furtivo do GHOSTPULSE no anfitrião comprometido a partir de um servidor remoto ("manojsinghnegi[.]com") via um script PowerShell.

Esse processo ocorre em várias etapas, sendo a primeira payload um arquivo TAR contendo um executável que se disfarça como o serviço Oracle VM VirtualBox (VBoxSVC.exe), mas na verdade é um binário legítimo que vem com o Notepad++ (gup.exe).

Também presente no arquivo TAR estão handoff.wav e uma versão trojanizada de libcurl.dll que é carregada para levar o processo de infecção para a próxima etapa, explorando o fato de que gup.exe é vulnerável ao carregamento lateral de DLLs.

"O PowerShell executa o binário VBoxSVC.exe que vai carregar da diretório atual a DLL maliciosa libcurl.dll", disse Desimone.

"Ao minimizar a pegada em disco do código malicioso criptografado, o ator da ameaça consegue evadir a verificação AV e ML baseada em arquivo."

O arquivo DLL adulterado procede então analisando handoff.wav, que por sua vez empacota uma payload criptografada que é decodificada e executada via mshtml.dll, um método conhecido como pisoteamento de módulo, para finalmente carregar GHOSTPULSE.

GHOSTPULSE atua como um carregador, empregando outra técnica conhecida como doppelgänging de processo para dar início à execução do malware final, incluindo SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...