Se ha observado una nueva campaña de ataque cibernético que utiliza archivos de paquetes de aplicaciones MSIX de Windows falsos para software popular como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex para distribuir un novedoso cargador de malware denominado GHOSTPULSE.
“MSIX es un formato de paquete de aplicaciones de Windows que los desarrolladores pueden aprovechar para empaquetar, distribuir e instalar sus aplicaciones a los usuarios de Windows”, dijo el investigador de Elastic Security Labs, Joe Desimone, en un informe técnico publicado la semana pasada.
“Sin embargo, MSIX requiere acceso a certificados de firma de código comprados o robados, lo que los hace viables para grupos de recursos por encima de la media”.
Según los instaladores utilizados como señuelos, se sospecha que los objetivos potenciales son atraídos a descargar los paquetes MSIX a través de técnicas conocidas, como sitios web comprometidos, envenenamiento de optimización de motores de búsqueda (SEO) o publicidad maliciosa.
Al iniciar el archivo MSIX, se abre un Windows que solicita a los usuarios que hagan clic en el botón Instalar, lo que da como resultado la descarga sigilosa de GHOSTPULSE en el host comprometido desde un servidor remoto (“manojsinghnegi[.] com”) a través de un script de PowerShell.
Este proceso tiene lugar en varias etapas, siendo la primera carga útil un archivo de almacenamiento TAR que contiene un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero en realidad es un binario legítimo que se incluye con Notepad ++ (gup.exe).
También está presente dentro del archivo TAR handoff.wav y una versión troyanizada de libcurl.dll que se carga para llevar el proceso de infección a la siguiente etapa explotando el hecho de que gup.exe es vulnerable a la carga lateral de DLL.
“El PowerShell ejecuta el binario VBoxSVC.exe que cargará lateralmente desde el directorio actual la DLL maliciosa libcurl.dll”, dijo Desimone. “Al minimizar la huella en disco del código malicioso cifrado, el actor de amenazas puede evadir el escaneo AV y ML basado en archivos”.
El archivo DLL manipulado posteriormente procede al análisis de handoff.wav, que, a su vez, empaqueta una carga útil cifrada que se decodifica y ejecuta a través de mshtml.dll, un método conocido como pisoteo de módulos, para finalmente cargar GHOSTPULSE.
GHOSTPULSE actúa como un cargador, empleando otra técnica conocida como doppelgänging de procesos para iniciar la ejecución del malware final, que incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.
