Bilgisayar Korsanları Windows PC'lere GHOSTPULSE Kötü Amaçlı Yazılım Bulaştırmak İçin MSIX Uygulama Paketlerini Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Bilgisayar Korsanları Windows PC'lere GHOSTPULSE Kötü Amaçlı Yazılım Bulaştırmak İçin MSIX Uygulama Paketlerini Kullanıyor - Dünyadan Güncel Teknoloji Haberleri
wav ve gup


30 Eki 2023Haber odasıKötü Amaçlı Yazılım / Uç Nokta Güvenliği

Sahte kullanılarak yeni bir siber saldırı kampanyası gözlemlendi MSIX Google Chrome, Microsoft Edge, Brave, Grammarly ve Cisco Webex gibi popüler yazılımlar için Windows uygulama paketi dosyaları olarak adlandırılan yeni bir kötü amaçlı yazılım yükleyiciyi dağıtmak için HAYALET DARBE ” söz konusu Geçen hafta yayınlanan teknik bir raporda

MSIX dosyasının başlatılması, kullanıcılardan Yükle düğmesine tıklamalarını isteyen bir Windows açar; bu, GHOSTPULSE’ın uzak bir sunucudan güvenliği ihlal edilmiş ana bilgisayara gizlice indirilmesiyle sonuçlanır (“manojsinghnegi”)[ ”

Değiştirilen DLL dosyası daha sonra handoff ]com”) bir PowerShell betiği aracılığıyla exe) gibi görünen ancak gerçekte Notepad++ (gup dll’nin truva atı haline getirilmiş bir sürümü de mevcuttur

Desimone, “PowerShell, geçerli dizinden kötü amaçlı DLL libcurl

TAR arşivinde ayrıca handoff ”

Yem olarak kullanılan yükleyicilere dayanarak, potansiyel hedeflerin, güvenliği ihlal edilmiş web siteleri, arama motoru optimizasyonu (SEO) zehirlenmesi veya kötü amaçlı reklamcılık gibi bilinen teknikler yoluyla MSIX paketlerini indirmeye yönlendirildiğinden şüpheleniliyor

Bu süreç birden fazla aşamadan oluşur; ilk veri, Oracle VM VirtualBox hizmeti (VBoxSVC süreç eşlemesi SectopRAT, Rhadamanthys, Vidar, Lumma ve NetSupport RAT’ı içeren son kötü amaçlı yazılımın yürütülmesini başlatmak için exe dosyasını çalıştırıyor” dedi

“Ancak MSIX, satın alınan veya çalınan kod imzalama sertifikalarına erişim gerektirerek bunları ortalamanın üzerinde kaynak grupları için uygun hale getiriyor dll dosyasını yükleyecek ikili VBoxSVC “Tehdit aktörü, şifrelenmiş kötü amaçlı kodun diskteki kapladığı alanı en aza indirerek dosya tabanlı AV ve ML taramasından kaçabilir modül Ezilmesonuçta GHOSTPULSE’ı yüklemek için dll olarak bilinen bir yöntem olan mshtml

Elastic Security Labs araştırmacısı Joe Desimone, “MSIX, geliştiricilerin uygulamalarını Windows kullanıcılarına paketlemek, dağıtmak ve yüklemek için kullanabileceği bir Windows uygulama paketi biçimidir



siber-2

wav’ı ayrıştırarak ilerler; bu da, mshtml exe) ile birlikte gelen yasal bir ikili dosya içeren bir yürütülebilir dosya içeren bir TAR arşiv dosyasıdır dll aracılığıyla kodu çözülen ve yürütülen şifrelenmiş bir veriyi paketler exe’nin DLL yan yüklemesine karşı savunmasız olduğu gerçeğinden yararlanarak bulaşma sürecini bir sonraki aşamaya taşımak için yüklenen libcurl

GHOSTPULSE, olarak bilinen başka bir tekniği kullanarak bir yükleyici görevi görür