{"id":1021747,"date":"2023-10-30T05:47:07","date_gmt":"2023-10-30T05:47:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-que-utilizan-paquetes-de-aplicaciones-msix-para-infectar-pc-con-windows-con-ghostpulse-maware\/"},"modified":"2023-10-30T05:47:10","modified_gmt":"2023-10-30T05:47:10","slug":"hackers-que-utilizan-paquetes-de-aplicaciones-msix-para-infectar-pc-con-windows-con-ghostpulse-maware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-que-utilizan-paquetes-de-aplicaciones-msix-para-infectar-pc-con-windows-con-ghostpulse-maware\/","title":{"rendered":"Hackers que utilizan paquetes de aplicaciones MSIX para infectar PC con Windows con GHOSTPULSE Maware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado una nueva campa\u00f1a de ciberataque utilizando datos espurios MSIX<\/a> Archivos de paquetes de aplicaciones de Windows para software popular como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un novedoso cargador de malware denominado PULSO FANTASMA<\/strong>.<\/p>\n

“MSIX es un formato de paquete de aplicaciones de Windows que los desarrolladores pueden aprovechar para empaquetar, distribuir e instalar sus aplicaciones para los usuarios de Windows”, dijo Joe Desimone, investigador de Elastic Security Labs. dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n

“Sin embargo, MSIX requiere acceso a certificados de firma de c\u00f3digo comprados o robados, lo que los hace viables para grupos de recursos superiores al promedio”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Seg\u00fan los instaladores utilizados como se\u00f1uelos, se sospecha que los objetivos potenciales son atra\u00eddos a descargar los paquetes MSIX a trav\u00e9s de t\u00e9cnicas conocidas como sitios web comprometidos, envenenamiento por optimizaci\u00f3n de motores de b\u00fasqueda (SEO) o publicidad maliciosa.<\/p>\n

Al iniciar el archivo MSIX se abre un sistema Windows que solicita a los usuarios que hagan clic en el bot\u00f3n Instalar, lo que da como resultado la descarga sigilosa de GHOSTPULSE en el host comprometido desde un servidor remoto (“manojsinghnegi[.]com”) a trav\u00e9s de un script de PowerShell.<\/p>\n

Este proceso se lleva a cabo en varias etapas, siendo la primera carga \u00fatil un archivo TAR que contiene un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero que en realidad es un binario leg\u00edtimo incluido con Notepad++ (gup.exe).<\/p>\n

Tambi\u00e9n est\u00e1 presente en el archivo TAR handoff.wav y una versi\u00f3n troyanizada de libcurl.dll que se carga para llevar el proceso de infecci\u00f3n a la siguiente etapa aprovechando el hecho de que gup.exe es vulnerable a la carga lateral de DLL.<\/p>\n

\"La<\/a><\/center><\/div>\n

“PowerShell ejecuta el binario VBoxSVC.exe que cargar\u00e1 desde el directorio actual la DLL maliciosa libcurl.dll”, dijo Desimone. “Al minimizar la huella en el disco del c\u00f3digo malicioso cifrado, el actor de amenazas puede evadir el escaneo AV y ML basado en archivos”.<\/p>\n

Posteriormente, el archivo DLL manipulado analiza handoff.wav, que, a su vez, contiene una carga \u00fatil cifrada que se decodifica y ejecuta a trav\u00e9s de mshtml.dll, un m\u00e9todo conocido como m\u00f3dulo<\/a> pisando fuerte<\/a>para finalmente cargar GHOSTPULSE.<\/p>\n

GHOSTPULSE act\u00faa como cargador, empleando otra t\u00e9cnica conocida como proceso de duplicaci\u00f3n<\/a> para iniciar la ejecuci\u00f3n del malware final, que incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n