Nový Malvér GHOSTPULSE útočí na používateľov počítačov. Takto sa môže dostať do vášho zariadenia!
Používateľov Windows počítačov trápi nový malvér GHOSTPULSE. Ten sa dokáže dostať do zariadenia obete cez rôzne inštalačné balíčky.
Tím bezpečnostných inžinierov z Elastic Security Labs objavil kampaň zameranú na infiltrácii aplikácií MSIX – formátu balíka pre aplikácie, ktorý umožňuje vývojárom distribuovať a inštalovať svoje aplikácie do zariadení s Windowsom. Kyberkriminálnici používajú na infiltrovanie systémov skrytý načítavací program nazývaný GHOSTPULSE, čo komplikuje jeho odhalenie.
V bežnom scenári útoku sú používatelia pravdepodobne navedení na stiahnutie závadných MSIX balíkov cez pochybné webové stránky, techniky optimalizácie vyhľadávania (SEO) alebo zavádzajúce reklamné kampane. Útočníci používajú napríklad falošné inštalačné programy pre prehliadače, ako sú napríklad Chrome, Brave, Edge, Grammarly, WebEx a ďalšie.
„Medzi maskovacie témy, ktoré sme pozorovali, patria inštalačné programy pre Chrome, Brave, Edge, Grammarly a WebEx, aby sme ich zvýraznili.“, zdôrazňujú experti na bezpečnosť.
Z pohľadu používateľa sa tlačidlo „Inštalovať“ javí ako funkčné, bez vyskakovacích okien alebo upozornení. Avšak použitý skript PowerShell tajne stiahne, dešifruje a spustí GHOSTPULSE v systéme.
Ako sa vyhnúť stiahnutiu vírusu do zariadenia?!
Ako takýto vírus funguje, a ako sa vyhnúť prípadnej „nákaze“ systému? Poďme sa spolu na to pozrieť.
Načítavací program GHOSTPULSE možno rozdeliť do 3 fáz, ktoré sa používajú na vykonanie záverečnej hrozby:
Neprehliadnite
Fáza 0: V tejto fáze spustí malvérom postihnutý MSIX, dočasne skript PowerShell. Tento skript je bežne súčasťou metód infekcie MSIX. Skript stiahne GPG-šifrovaný súbor, ktorý obsahuje niekoľko komponentov. Jeden z týchto kompontentov, je súbor s názvom VBoxSVC.exe, ktorý je však v skutočnosti premenovaný gup.exe. Tento súbor slúži na aktualizáciu aplikácie Notepad++, aplikácie zraniteľnej technikou známou ako sideloading, teda bočné načítanie. S cieľom vyhnúť sa detekcii antivírusom, vírus minimalizuje stopy malvéru na disku, čím sa komplikuje detekcia. Ďalej skript PowerShell dešifruje infikovaný súbor.
Fáza 1: V prvej fáze GHOSTPULSE sa spustí infikovaná knižnica (DLL), ktorá sa načíta do legitímneho programu. Táto knižnica obsahuje zoznam nevyhnutných aplikačných rozhraní (API), ktoré malvér používa na vykonávanie svojich škodlivých aktivít. Používa tiež hashovací algoritmus na zakrytie svojich stop. Táto fáza umožňuje GHOSTPULSE vykonávať operácie systému nízkej úrovne bez detekcie antivírusom.
Fáza 2: V tejto fáze GHOSTPULSE skonštruuje novú štruktúru, ktorá jej umožní vykonávať pokročilejšie techniky vrátane finalizácie payloadu (jadra malvéru). Hashovací algoritmus skrýva názvy API.
Fáza 3: Útočníci tretiu fázu navrhli tak, aby nahrávala a vykonávala záverečnú škodlivú záťaž v systéme. Používa techniky, ktoré komplikujú analýzu tým, že prepisujú predchádzajúce inštrukcie novými. Môže nastoliť vytrvalosť, čím sa zvyšuje obťažnosť odstránenia.
Takže čo vlastne GHOSTPULSE robí a ako pred ním môžete chrániť svoje zariadenie?
GHOSTPULSE je zradný program, ktorý sa snaží ukradnúť vaše informácie, informácie o systéme alebo používateľovi. Taktiež je pomocou neho možná komunikácia so vzdialenými servermi na účely ovládania.
Preto je nanajvýš dôležité mať aktuálny antivírusový softvér a udržiavať systém a aplikácie aktualizované. Nikdy nesťahujte aplikácie z neoverených zdrojov a dbajte na overenie digitálnych podpisov balíkov aplikácií. Taktiež dávajte pozor na zvláštne alebo neobvyklé aktivity na svojom počítači a v prípade podozrenia vykonajte potrebné kroky na odstránenie hrozby softvéru.
Komentáre