Hackers están usando paquetes de aplicaciones MSIX para infectar sistemas Windows con el malware GHOSTPULSE

Se ha detectado una reciente campaña de ataques cibernéticos que utiliza archivos de paquetes de aplicaciones MSIX falsos en el entorno de Windows para distribuir un novedoso cargador de malware denominado GHOSTPULSE. Los archivos MSIX falsos se hacen pasar por paquetes de aplicaciones de software popular, como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex.

«MSIX es un formato de paquete de aplicaciones para Windows que los desarrolladores pueden aprovechar para empaquetar, distribuir e instalar sus aplicaciones en los sistemas de Windows», comentó Joe Desimone, investigador de Elastic Security Labs, en un informe técnico publicado la semana pasada.

«Sin embargo, el uso de MSIX requiere el acceso a certificados de firma de código, ya sean adquiridos legítimamente o robados, lo que los hace atractivos para grupos con recursos por encima de la media».

Según los instaladores utilizados como señuelos, se sospecha que los posibles objetivos son atraídos para descargar los paquetes MSIX a través de técnicas conocidas, como sitios web comprometidos, manipulación de motores de búsqueda (SEO) o anuncios maliciosos.

Cuando se abre el archivo MSIX, se muestra una ventana de Windows que pide a los usuarios que hagan clic en el botón de instalación. Hacerlo resulta en la descarga sigilosa de GHOSTPULSE en el sistema comprometido desde un servidor remoto (en «manojsinghnegi[.]com») mediante un script de PowerShell.

Este proceso se lleva a cabo en múltiples etapas, siendo la primera carga útil un archivo TAR que contiene un ejecutable que se disfraza como el servicio Oracle VM VirtualBox (VBoxSVC.exe). Sin embargo, en realidad, se trata de un binario legítimo que se encuentra junto a Notepad++ (gup.exe).

Dentro del archivo TAR también se encuentran el archivo handoff.wav y una versión de libcurl.dll modificada para que sea dañina. Esta última se carga para llevar el proceso de infección a la siguiente etapa aprovechando la vulnerabilidad de gup.exe en la carga lateral de DLL.

«PowerShell ejecuta el binario VBoxSVC.exe, que cargará desde el directorio actual la DLL maliciosa libcurl.dll. Al minimizar la huella en disco del código malicioso cifrado, el actor de amenazas puede evitar la detección de antivirus y el análisis de aprendizaje automático basados en archivos», explicó Desimone.

Posteriormente, el archivo DLL manipulado procede a analizar handoff.wav, que, a su vez, contiene una carga útil cifrada. Esta carga se descifra y ejecuta a través de mshtml.dll, un método conocido como «module stomping», con el fin de cargar finalmente GHOSTPULSE.

GHOSTPULSE actúa como un cargador y utiliza otra técnica llamada «process doppelgänging» para iniciar la ejecución del malware final. Este malware incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *