Se ha observado una nueva campaña de ciberataque utilizando datos espurios MSIX Archivos de paquetes de aplicaciones de Windows para software popular como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un novedoso cargador de malware denominado PULSO FANTASMA.
«MSIX es un formato de paquete de aplicaciones de Windows que los desarrolladores pueden aprovechar para empaquetar, distribuir e instalar sus aplicaciones para los usuarios de Windows», dijo Joe Desimone, investigador de Elastic Security Labs. dicho en un informe técnico publicado la semana pasada.
«Sin embargo, MSIX requiere acceso a certificados de firma de código comprados o robados, lo que los hace viables para grupos de recursos superiores al promedio».
Según los instaladores utilizados como señuelos, se sospecha que los objetivos potenciales son atraídos a descargar los paquetes MSIX a través de técnicas conocidas como sitios web comprometidos, envenenamiento por optimización de motores de búsqueda (SEO) o publicidad maliciosa.
Al iniciar el archivo MSIX se abre un sistema Windows que solicita a los usuarios que hagan clic en el botón Instalar, lo que da como resultado la descarga sigilosa de GHOSTPULSE en el host comprometido desde un servidor remoto («manojsinghnegi[.]com») a través de un script de PowerShell.
Este proceso se lleva a cabo en varias etapas, siendo la primera carga útil un archivo TAR que contiene un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero que en realidad es un binario legítimo incluido con Notepad++ (gup.exe).
También está presente en el archivo TAR handoff.wav y una versión troyanizada de libcurl.dll que se carga para llevar el proceso de infección a la siguiente etapa aprovechando el hecho de que gup.exe es vulnerable a la carga lateral de DLL.
«PowerShell ejecuta el binario VBoxSVC.exe que cargará desde el directorio actual la DLL maliciosa libcurl.dll», dijo Desimone. «Al minimizar la huella en el disco del código malicioso cifrado, el actor de amenazas puede evadir el escaneo AV y ML basado en archivos».
Posteriormente, el archivo DLL manipulado analiza handoff.wav, que, a su vez, contiene una carga útil cifrada que se decodifica y ejecuta a través de mshtml.dll, un método conocido como módulo pisando fuertepara finalmente cargar GHOSTPULSE.
GHOSTPULSE actúa como cargador, empleando otra técnica conocida como proceso de duplicación para iniciar la ejecución del malware final, que incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.