Une nouvelle campagne de cyberattaque a été observée utilisant de faux MSIX Fichiers de packages d’applications Windows pour des logiciels populaires tels que Google Chrome, Microsoft Edge, Brave, Grammarly et Cisco Webex afin de distribuer un nouveau chargeur de logiciels malveillants baptisé IMPULSION FANTÔME.
« MSIX est un format de package d’application Windows que les développeurs peuvent exploiter pour empaqueter, distribuer et installer leurs applications auprès des utilisateurs Windows », Joe Desimone, chercheur chez Elastic Security Labs. dit dans un rapport technique publié la semaine dernière.
« Cependant, MSIX nécessite l’accès aux certificats de signature de code achetés ou volés, ce qui les rend viables pour des groupes de ressources supérieures à la moyenne. »
Sur la base des installateurs utilisés comme leurres, on soupçonne que des cibles potentielles sont incitées à télécharger les packages MSIX via des techniques connues telles que des sites Web compromis, un empoisonnement par l’optimisation des moteurs de recherche (SEO) ou une publicité malveillante.
Le lancement du fichier MSIX ouvre un Windows invitant les utilisateurs à cliquer sur le bouton Installer, ce qui entraîne le téléchargement furtif de GHOSTPULSE sur l’hôte compromis à partir d’un serveur distant (« manojsinghnegi[.]com ») via un script PowerShell.
Ce processus se déroule en plusieurs étapes, la première charge utile étant un fichier d’archive TAR contenant un exécutable qui se fait passer pour le service Oracle VM VirtualBox (VBoxSVC.exe), mais qui est en réalité un binaire légitime fourni avec Notepad++ (gup.exe).
L’archive TAR contient également handoff.wav et une version trojanisée de libcurl.dll chargée pour faire passer le processus d’infection à l’étape suivante en exploitant le fait que gup.exe est vulnérable au chargement latéral de DLL.
« Le PowerShell exécute le binaire VBoxSVC.exe qui chargera depuis le répertoire actuel la DLL malveillante libcurl.dll », a déclaré Desimone. « En minimisant l’empreinte sur le disque du code malveillant crypté, l’acteur malveillant est en mesure d’échapper à l’analyse AV et ML basée sur les fichiers. »
Le fichier DLL falsifié procède ensuite à l’analyse de handoff.wav, qui, à son tour, contient une charge utile cryptée décodée et exécutée via mshtml.dll, une méthode connue sous le nom de module piétinerpour finalement charger GHOSTPULSE.
GHOSTPULSE agit comme un chargeur, employant une autre technique connue sous le nom de processus double pour lancer l’exécution du malware final, qui comprend SectopRAT, Rhadamanthys, Vidar, Lumma et NetSupport RAT.