Software malicioso Ghostpulse
Se ha detectado una campaña de ciberataque sigilosa que implica el uso de archivos falsos de paquetes de aplicaciones MSIX de Windows para software conocido como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex. Estos archivos inseguros se utilizan para difundir un nuevo tipo de cargador de malware llamado GHOSTPULSE.
MSIX es un formato de paquete de aplicaciones de Windows que los desarrolladores pueden emplear para empaquetar, distribuir e instalar su software en sistemas Windows. Sin embargo, es importante tener en cuenta que la creación y el uso de archivos MSIX requieren acceso a certificados de firma de código obtenidos legítimamente o adquiridos ilícitamente, lo que hace que este método sea particularmente atractivo para grupos de piratas informáticos ingeniosos y bien financiados.
Tabla de contenido
Los atacantes utilizan varias tácticas de señuelo para distribuir el malware GHOSTPULSE
Según los instaladores de cebo utilizados en este esquema, se sospecha que se engaña a las víctimas potenciales para que descarguen los paquetes MSIX utilizando técnicas bien conocidas, incluidos sitios web comprometidos, envenenamiento de optimización de motores de búsqueda (SEO) o publicidad fraudulenta (publicidad maliciosa).
Cuando se ejecuta el archivo MSIX, aparece un mensaje de Windows que insta a los usuarios a hacer clic en el botón "Instalar". Al hacerlo, GHOSTPULSE se descarga silenciosamente al host comprometido desde un servidor remoto (específicamente, 'manojsinghnegi[.]com') a través de un script de PowerShell.
Este proceso se desarrolla en varias etapas, siendo la carga útil inicial un archivo TAR. Este archivo contiene un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero en realidad es un binario legítimo incluido con Notepad++ (gup.exe).
Además, dentro del archivo TAR, hay un archivo llamado handoff.wav y una versión troyanizada de libcurl.dll. Este libcurl.dll modificado se carga para avanzar el proceso de infección a la siguiente etapa explotando una vulnerabilidad en gup.exe a través de la carga lateral de DLL.
Las múltiples técnicas dañinas involucradas en la cadena de infección del malware GHOSTPULSE
El script de PowerShell inicia la ejecución del binario VBoxSVC.exe, que, a su vez, realiza la carga lateral de DLL cargando el archivo DLL dañado libcurl.dll desde el directorio actual. Este método permite al actor de amenazas minimizar la presencia en el disco de código malicioso cifrado, lo que le permite evadir la detección mediante antivirus basado en archivos y análisis de aprendizaje automático.
A continuación, el archivo DLL manipulado procede al análisis de handoff.wav. Dentro de este archivo de audio, se oculta una carga útil cifrada, que posteriormente se decodifica y ejecuta a través de mshtml.dll. Esta técnica, conocida como pisar módulo, se utiliza en última instancia para iniciar GHOSTPULSE.
GHOSTPULSE funciona como un cargador y emplea otra técnica llamada proceso doppelgänging para iniciar la ejecución del conjunto final de malware, que incluye SectopRAT , Rhadamanthys , Vidar, Lumma y NetSupport RAT .
Las consecuencias para las víctimas de ataques de malware pueden ser graves
Una infección por troyano de acceso remoto (RAT) plantea varias consecuencias nefastas para los dispositivos de los usuarios, lo que lo convierte en uno de los tipos de malware más peligrosos. En primer lugar, una RAT otorga acceso y control no autorizados a actores maliciosos, lo que les permite observar, manipular y robar de forma encubierta información confidencial del dispositivo infectado. Esto incluye acceso a archivos personales, credenciales de inicio de sesión, datos financieros e incluso la capacidad de monitorear y registrar las pulsaciones de teclas, lo que lo convierte en una potente herramienta para el robo de identidad y el espionaje. Estas actividades pueden provocar pérdidas financieras, violaciones de la privacidad y el compromiso de datos personales y profesionales.
Además, las infecciones RAT pueden tener impactos devastadores en la privacidad y seguridad del usuario. Los actores relacionados con el fraude pueden utilizar RAT para encender cámaras web y micrófonos, espiando eficazmente a las víctimas en sus propios hogares. Esta intrusión en los espacios personales no sólo viola la privacidad sino que también puede dar lugar a chantajes o a la distribución de contenidos comprometedores. Además, las RAT se pueden utilizar para convertir dispositivos infectados en parte de una botnet, que puede lanzar ciberataques a gran escala, distribuir malware a otros sistemas o llevar a cabo actividades delictivas en nombre del atacante. En última instancia, las infecciones RAT socavan la confianza en el entorno digital, erosionan la seguridad personal y pueden tener consecuencias graves y duraderas para personas, empresas e incluso países.
