Uma nova campanha de ataque cibernético foi observada usando arquivos de pacote de aplicativo MSIX do Windows para softwares populares como Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex para distribuir um novo carregador de malware chamado GHOSTPULSE.
"MSIX é um formato de pacote de aplicativo Windows que desenvolvedores podem usar para empacotar, distribuir e instalar suas aplicações para usuários Windows", disse o pesquisador Joe Desimone da Elastic Security Labs, em um relatório técnico publicado na semana passada.
"No entanto, o MSIX requer acesso a certificados de assinatura de código comprados ou roubados, tornando-os viáveis para grupos com recursos acima da média."
Com base nos instaladores usados como iscas, suspeita-se que possíveis alvos sejam atraídos para fazer o download dos pacotes MSIX através de técnicas conhecidas como sites comprometidos, otimização de motores de busca (SEO) ou malvertising.
Lançar o arquivo MSIX abre uma janela do Windows solicitando aos usuários que cliquem no botão Instalar, o que resulta no download furtivo do GHOSTPULSE no anfitrião comprometido a partir de um servidor remoto ("manojsinghnegi[.]com") via um script PowerShell.
Esse processo ocorre em várias etapas, sendo a primeira payload um arquivo TAR contendo um executável que se disfarça como o serviço Oracle VM VirtualBox (VBoxSVC.exe), mas na verdade é um binário legítimo que vem com o Notepad++ (gup.exe).
Também presente no arquivo TAR estão handoff.wav e uma versão trojanizada de libcurl.dll que é carregada para levar o processo de infecção para a próxima etapa, explorando o fato de que gup.exe é vulnerável ao carregamento lateral de DLLs.
"O PowerShell executa o binário VBoxSVC.exe que vai carregar da diretório atual a DLL maliciosa libcurl.dll", disse Desimone.
"Ao minimizar a pegada em disco do código malicioso criptografado, o ator da ameaça consegue evadir a verificação AV e ML baseada em arquivo."
O arquivo DLL adulterado procede então analisando handoff.wav, que por sua vez empacota uma payload criptografada que é decodificada e executada via mshtml.dll, um método conhecido como pisoteamento de módulo, para finalmente carregar GHOSTPULSE.
GHOSTPULSE atua como um carregador, empregando outra técnica conhecida como doppelgänging de processo para dar início à execução do malware final, incluindo SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...