Gli esperti di sicurezza hanno rilevato una nuova campagna di attacco informatico che utilizza file di pacchetti di app MSIX di Windows fasulli per software popolari come Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex per distribuire un nuovo loader di malware chiamato GHOSTPULSE.
MSIX e la sua vulnerabilità
MSIX è un formato di pacchetto di app Windows che gli sviluppatori possono utilizzare per confezionare, distribuire e installare le loro applicazioni agli utenti di Windows. Tuttavia, come ha sottolineato Joe Desimone, ricercatore di Elastic Security Labs, l’utilizzo di MSIX richiede l’accesso a certificati di firma del codice acquistati o rubati, rendendoli adatti a gruppi con risorse superiori alla media.
Basandosi sui programmi di installazione utilizzati come esche, si sospetta che i potenziali obiettivi vengano indotti a scaricare i pacchetti MSIX attraverso tecniche note come siti web compromessi, avvelenamento del SEO o malvertising. L’avvio del file MSIX apre una finestra di Windows che invita gli utenti a fare clic sul pulsante Installa. Facendo ciò, si avvia il download furtivo di GHOSTPULSE sul dispositivo compromesso da un server remoto attraverso uno script PowerShell.
Il processo di infezione
Il processo di infezione avviene in più fasi. Il primo payload è un file di archivio TAR che contiene un eseguibile che si finge il servizio Oracle VM VirtualBox (VBoxSVC.exe). In realtà, si tratta di un binario legittimo associato a Notepad++ (gup.exe). All’interno dell’archivio TAR si trovano anche handoff.wav e una versione trojanizzata di libcurl.dll, che viene caricata per portare il processo di infezione alla fase successiva, sfruttando il fatto che gup.exe è vulnerabile al side-loading di DLL.
Il file DLL manipolato prosegue analizzando handoff.wav, che contiene un payload cifrato decodificato ed eseguito tramite mshtml.dll, un metodo noto come “module stomping”, per caricare infine GHOSTPULSE.
GHOSTPULSE funge da loader, utilizzando un’altra tecnica chiamata “process doppelgänging” per avviare l’esecuzione del malware finale, che include SectopRAT, Rhadamanthys, Vidar, Lumma e NetSupport RAT.