En una reciente investigación de seguridad, se ha descubierto una nueva campaña de ciberataque que utiliza archivos de paquete de aplicaciones MSIX falsos para distribuir malware a través de populares programas de software, como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex. Este malware ha sido bautizado como GHOSTPULSE y ha sido objeto de análisis por parte del investigador de Elastic Security Labs, Joe Desimone.
Llega Halloween con un nuevo malware fantasma llamado “GHOSTPULSE” ¡Y llegaron los zombies! SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT. Es sigiloso, se cuela como un fantasma en tu equipo y llama a otros zombies para infectar.
«Los archivos MSIX son un formato de paquete de aplicaciones de Windows que los desarrolladores utilizan para empaquetar, distribuir y llevar a cabo la instalación de sus aplicaciones en sistemas Windows. Sin embargo, la peculiaridad de los archivos MSIX es que requieren acceso a certificados de firma de código, ya sea comprados o robados, lo que los hace atractivos para grupos de ciberdelincuentes con recursos por encima del promedio.»
Joe Desimone, investigador de Elastic Security Labs en su informe técnico
Los atacantes utilizan técnicas conocidas como sitios web comprometidos, envenenamiento de la optimización de motores de búsqueda (SEO) o publicidad maliciosa para inducir a los usuarios a descargar los archivos MSIX falsos. Estos archivos, una vez descargados, desencadenan una serie de eventos que culminan en la infección de la máquina de la víctima.
El proceso de infección se desarrolla en múltiples etapas. Inicialmente, el archivo MSIX ejecutado por el usuario abre una ventana en Windows que solicita al usuario hacer clic en el botón «Instalar». Al hacerlo, se inicia la descarga sigilosa de GHOSTPULSE desde un servidor remoto denominado «manojsinghnegi[.]com» mediante un script de PowerShell.
Uno de los aspectos intrigantes de este ataque es cómo se utilizan archivos legítimos para llevar a cabo la infección. En la primera etapa, se encuentra un archivo TAR que contiene un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero que en realidad es un archivo binario legítimo que se encuentra en el software Notepad++ bajo el nombre «gup.exe«.
Dentro del archivo TAR, también se hallan los archivos «handoff.wav» y una versión manipulada de la biblioteca «libcurl.dll«. Esta última es crucial para avanzar al siguiente nivel de la infección, ya que aprovecha una vulnerabilidad en el «gup.exe» para cargar de forma lateral una DLL maliciosa.
El proceso continúa con la PowerShell ejecutando el binario «VBoxSVC.exe«, que a su vez carga la DLL maliciosa «libcurl.dll» desde el directorio actual. Esta técnica minimiza la huella del código malicioso en el disco y le permite evadir las herramientas de seguridad basadas en archivos y el escaneo de aprendizaje automático.
La DLL manipulada procede a analizar el archivo «handoff.wav«, que contiene una carga cifrada. Esta carga se descifra y ejecuta mediante «mshtml.dll«, un método conocido como estampado de módulo. Finalmente, se logra cargar el malware GHOSTPULSE en el sistema de la víctima.
GHOSTPULSE no es el malware final, sino un cargador que utiliza una técnica llamada «doppelgänging de procesos» para iniciar la ejecución del malware real. Entre las amenazas que se incluyen en esta campaña se encuentran SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.
Esta investigación subraya la constante evolución de las tácticas de los ciberdelincuentes y la necesidad de mantenerse alerta frente a nuevas amenazas. La sofisticación de los atacantes, la utilización de archivos legítimos y la explotación de vulnerabilidades existentes hacen que la lucha contra el cibercrimen sea un desafío constante. Las organizaciones y los usuarios individuales deben mantener sus sistemas actualizados y adoptar buenas prácticas de seguridad cibernética para protegerse contra ataques como el de GHOSTPULSE.
Más información:
- https://learn.microsoft.com/en-us/windows/msix/overview
- https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks
- https://blog.f-secure.com/hiding-malicious-code-with-module-stomping/
- https://www.elastic.co/es/blog/process-ghosting-a-new-executable-image-tampering-attack
Deja una respuesta