ตรวจพบการโจมตีทางไซเบอร์ครั้งใหม่ ด้วยการใช้ MSIX Windows App Packages ใน Application ยอดนิยม อย่าง Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex เพื่อแพร่กระจายมัลแวร์ตัวใหม่ที่มีชื่อว่า GHOSTPULSE
โดย Joe Desimone นักวิจัยของ Elastic Security Labs ระบุในรายงานทางเทคนิคที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมาว่า MSIX เป็น Windows app package format ที่กลุ่มผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากแพ็คเกจเพื่อแจกจ่าย และติดตั้งแอปพลิเคชันของตนให้กับผู้ใช้ Windows อย่างไรก็ตาม MSIX ต้องการการเข้าถึง signing certificates ที่ซื้อ หรือถูกขโมยมา ซึ่งทำให้สามารถใช้งานได้กับหลายกลุ่ม
วิธีการคือผู้ไม่ประสงค์ดีจะหลอกให้ผู้ใช้ติดตั้งโปรแกรมปลอม โดยหลอกว่าเป็นโปรแกรมที่ปลอดภัย ด้วยการทำให้เว็บไซต์ติดอันดับบน Search Engine หรือการฝังมัลแวร์ในลิงค์โฆษณา โดยเริ่มจากการให้ผู้ใช้รันไฟล์ MSIX บน Windows เพื่อติดตั้ง ซึ่งจะส่งผลให้มีการดาวน์โหลด GHOSTPULSE อย่างลับ ๆ บนโฮสต์จากเซิร์ฟเวอร์ภายนอก ("manojsinghnegi[.]com") ผ่านสคริปต์ PowerShell
กระบวนการนี้มีหลายขั้นตอน โดยเพย์โหลดแรกจะเป็นไฟล์ TAR ที่มีไฟล์ที่ปลอมแปลงเป็น Oracle VM VirtualBox (VBoxSVC.exe) แต่ในความเป็นจริงแล้วเป็นไบนารีที่ถูกต้องที่มาพร้อมกับ Notepad++ (gup.exe) โดยภายในไฟล์ TAR ยังมี handoff.wav และ libcurl.dll เวอร์ชันโทรจันที่ถูกโหลดไว้ เพื่อนำไปสู่กระบวนการต่อไป โดยอาศัย gup.exe ซึ่งใช้ในการโจมตีแบบ DLL Side-Loading
Desimone ระบุว่า PowerShell จะแยก VBoxSVC.exe ที่โหลดจากไดเร็กทอรีปัจจุบันซึ่งเป็น DLL libcurl.dll ที่เป็นอันตราย ด้วยการลดขนาดของโค้ดมัลแวร์ ทำให้สามารถหลบเลี่ยงการสแกน AV และ ML แบบไฟล์ได้
ต่อมาไฟล์ DLL จะมีการแยกวิเคราะห์ handoff.wav ซึ่งจะมีเพย์โหลดที่เข้ารหัส และดำเนินการผ่าน mshtml.dll ซึ่งเป็นวิธีการที่เรียกว่า module stomping เพื่อโหลด GHOSTPULSE ในท้ายที่สุด
GHOSTPULSE จะทำหน้าที่เป็น loader โดยใช้ process doppelgänging เพื่อเริ่มต้นการดำเนินการในขั้นสุดท้าย ซึ่งรวมถึง SectopRAT, Rhadamanthys, Vidar, Lumma และ NetSupport RAT
Ref : thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น