พบการโจมตีทางไซเบอร์ครั้งใหม่ ด้วยการใช้ MSIX Windows App Packages ในซอฟต์แวร์ยอดนิยม อย่าง Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex เพื่อแพร่กระจายมัลแวร์ตัวใหม่ที่มีชื่อว่า GHOSTPULSE
โดย Joe Desimone นักวิจัยของ Elastic Security Labs ระบุในรายงานทางเทคนิคที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมาว่า MSIX เป็น Windows app package format ที่นักพัฒนาสามารถใช้ประโยชน์จากแพ็คเกจเพื่อแจกจ่าย และติดตั้งแอปพลิเคชันของตนให้กับผู้ใช้ Windows อย่างไรก็ตาม MSIX ต้องการการเข้าถึง signing certificates ที่ซื้อ หรือถูกขโมยมา ซึ่งทำให้สามารถใช้งานได้กับหลายกลุ่ม
วิธีการคือแฮ็กเกอร์จะหลอกให้ผู้ใช้ติดตั้งโปรแกรมปลอม โดยหลอกว่าเป็นโปรแกรมที่ปลอดภัย ด้วยการทำให้เว็บไซต์ติดอันดับบน Search Engine หรือการฝังมัลแวร์ในลิงค์โฆษณา
โดยเริ่มจากการให้ผู้ใช้รันไฟล์ MSIX บน Windows เพื่อติดตั้ง ซึ่งจะส่งผลให้มีการดาวน์โหลด GHOSTPULSE อย่างลับ ๆ บนโฮสต์จากเซิร์ฟเวอร์ภายนอก ("manojsinghnegi[.]com") ผ่านสคริปต์ PowerShell
กระบวนการนี้มีหลายขั้นตอน โดยเพย์โหลดแรกจะเป็นไฟล์ TAR ที่มีไฟล์ที่ปลอมแปลงเป็น Oracle VM VirtualBox (VBoxSVC.exe) แต่ในความเป็นจริงแล้วเป็นไบนารีที่ถูกต้องที่มาพร้อมกับ Notepad++ (gup.exe) โดยภายในไฟล์ TAR ยังมี handoff.wav และ libcurl.dll เวอร์ชันโทรจันที่ถูกโหลดไว้ เพื่อนำไปสู่กระบวนการต่อไป โดยอาศัย gup.exe ซึ่งใช้ในการโจมตีแบบ DLL Side-Loading
Desimone ระบุว่า PowerShell จะแยก VBoxSVC.exe ที่โหลดจากไดเร็กทอรีปัจจุบันซึ่งเป็น DLL libcurl.dll ที่เป็นอันตราย ด้วยการลดขนาดของโค้ดมัลแวร์ ทำให้สามารถหลบเลี่ยงการสแกน AV และ ML แบบไฟล์ได้
ต่อมาไฟล์ DLL จะมีการแยกวิเคราะห์ handoff.wav ซึ่งจะมีเพย์โหลดที่เข้ารหัส และดำเนินการผ่าน mshtml.dll ซึ่งเป็นวิธีการที่เรียกว่า module stomping เพื่อโหลด GHOSTPULSE ในท้ายที่สุด
GHOSTPULSE จะทำหน้าที่เป็น loader โดยใช้ process doppelgänging เพื่อเริ่มต้นการดำเนินการในขั้นสุดท้าย ซึ่งรวมถึง SectopRAT, Rhadamanthys, Vidar, Lumma และ NetSupport RAT
ที่มา : thehackernews
You must be logged in to post a comment.