Grazie al lavoro di Elastic Security Labs è stato possibile individuare una nuova campagna di attacchi informatici che desta non poche preoccupazioni tra utenti e addetti ai lavori.
Questa sfrutta falsi pacchetti di app MSIX Windows, andando a intaccare popolari software su tale piattaforma come i browser Google Chrome, Microsoft Edge e Brave, oltre ad altre applicazioni come Grammarly e Cisco Webex. Il tutto è gestito dai cybercriminali per diffondere un nuovo loader malware, a cui è stato assegnato il nome di GHOSTPULSE.
Secondo il ricercatore Joe Desimone “MSIX è un formato di pacchetto di app Windows che gli sviluppatori possono sfruttare per creare pacchetti, distribuire e installare le proprie applicazioni per gli utenti su questo OS“.
Analizzando i programmi di installazione utilizzati come esche, gli esperti credono che i pacchetti MSIX malevoli vengano diffusi attraverso siti Web compromessi, SEO poisoning e malvertising.
Allerta GHOSTPULSE: un pericolo per i principali browser in circolazione (e non solo)
L’avvio del file MSIX apre una finestra Windows che richiede agli utenti di fare clic sul pulsante Installa, il che si traduce nel download camuffato di GHOSTPULSE sull’host compromesso da un server remoto tramite uno script PowerShell.
Questo processo si svolge in più fasi, con il primo payload che è un file di archivio TAR contenente un eseguibile mascherato da servizio Oracle VM VirtualBox (VBoxSVC.exe) ma in realtà è un file binario legittimo fornito in bundle con Notepad++ (ovvero gup.exe).
All’interno dell’archivio TAR sono presenti anche handoff.wav e una versione con trojan di libcurl.dll che viene caricata per portare il processo di infezione alla fase successiva sfruttando il fatto che gup.exe è vulnerabile al sideloading DLL.
Desimone spiega come “PowerShell esegue il binario VBoxSVC.exe che caricherà dalla directory corrente la DLL dannosa libcurl.dl“, aggiungendo poi come con questo modus operandi si riduce al minimo le possibilità di individuazione del malware in azione.
Il file DLL manomesso procede successivamente analizzando handoff.wav, che, a sua volta, racchiude un payload crittografato che viene decodificato ed eseguito tramite mshtml.dll, a cui segue la vera e propria infezione attraverso GHOSTPULSE.
Il loader in questione impiega una tecnica nota come doppelgänging per avviare l’esecuzione finale del software malevolo, con possibilità di infezione di diversi agenti come SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.