SolarWinds é vendida por US$ 4,4 bilhões

CISA publica sete alertas para sistemas de controle industrial

PayPal é multado por ter exposto dados de clientes em 2022

Arquivo Nacional sofre ataque na página do Prêmio Memórias Reveladas

Fundador do marketplace Silk Road é perdoado de prisão perpétua

TikTok sai do ar no EUA por decisão judicial

[ 225,106 page views, 104,394 usuários nos últimos 30 dias ] - [ 5.992 assinantes na newsletter, taxa de abertura 27% ]
Pesquisar
Crédito: John Schnobrich/ Unsplash
Malware & Ameaças

Hackers usam aplicativos MSIX para infectar PCs Windows

Uma nova campanha de malware, que usa arquivos espúrios do pacote de aplicativos MSIX do Windows para softwares populares como Google Chrome, Microsoft Edge, Brave, Grammarly e Cisco Webex para distribuir um novo carregador de malware chamado GhostPulsefoi observada pelo pesquisador do Elastic Security Labs, Joe Desimone,  em um relatório técnico publicado na semana passada.

“O MSIX é um formato de pacote de aplicativos do Windows que os desenvolvedores podem aproveitar para empacotar, distribuir e instalar seus aplicativos para usuários do Windows”, disse Desimone. “No entanto, o MSIX requer acesso a certificados de assinatura de código comprados ou roubados, tornando-os viáveis para grupos de recursos acima da média.”

Com base nos instaladores usados como iscas, suspeita-se que os alvos potenciais são atraídos a baixar os pacotes MSIX por meio de técnicas conhecidas, como sites comprometidos, envenenamento por otimização de mecanismos de busca (SEO) ou malvertising (uso de publicidade online para espalhar malware).

Ao iniciar o arquivo MSIX abre o Windows solicitando que os usuários cliquem no botão Instalar, o que resulta no download furtivo do GhostPulse no host comprometido de um servidor remoto (“manojsinghnegi[.] com”) por meio de um script do PowerShell.

Esse processo ocorre em vários estágios, com a primeira carga sendo um arquivo TAR contendo um executável que se disfarça como o serviço Oracle VM VirtualBox (VBoxSVC.exe), mas na realidade é um binário legítimo que é empacotado com o Notepad ++ (gup.exe). Também está presente no arquivo TAR o handoff.wav e uma versão trojanizada do libcurl.dll que é carregada para levar o processo de infecção para o próximo estágio, explorando o fato de que o gup.exe é vulnerável ao sideload da DLL.

Veja isso
PC isolado vulnerável a roubo de dados por onda eletromagnética
Desenvolvedor de RAT é preso por infectar 10 mil PCs com malware

“O PowerShell executa o VBoxSVC binário.exe que carregará do diretório atual a DLL maliciosa libcurl.dll”, disse Desimone. “Ao minimizar o espaço ocupado no disco de código malicioso criptografado, o operador da ameaça é capaz de evitar a varredura de AV e ML baseada em arquivo.”

O arquivo DLL adulterado prossegue analisando o handoff.wav, que, por sua vez, empacota uma carga criptografada que é decodificada e executada via mshtml.dll, um método conhecido como módulo stomping, para finalmente carregar o GhostPulse.

Para ter acesso ao relatório completo, em inglês, do Elastic Security Labs clique aqui.

Posts Patrocinados

Últimas notícias

Assine a nossa Newsletter

Cancelar Inscrição

Assine a nossa Newsletter

Cancelar Inscrição