البرمجيات الخبيثة Ghostpulse تستهدف الحواسيب الشخصية التي تعمل بنظام ويندوز باستخدام مثبتات تطبيقات مزيفة

تم الكشف عن حملة برمجيات خبيثة جديدة تستخدم برامج تثبيت تطبيقات مزيفة لإصابة أجهزة الكمبيوتر التي تعمل بنظام ويندوز بحمولة خبيثة. صُممت البرمجية الخبيثة، التي أُطلق عليها اسم Ghostpulse، لسرقة معلومات حساسة من الضحايا وتجنب اكتشافها من قبل برامج مكافحة الفيروسات.

وفقًا للباحثين الأمنيين، يتم توزيع Ghostpulse عبر رسائل البريد الإلكتروني التصيدية التي تحتوي على رابط إلى موقع ويب خبيث. يحاكي موقع الويب مظهر مواقع تنزيل البرامج المشروعة، مثل Softonic أو CNET أو FileHippo، ويقدم العديد من التطبيقات الشائعة، مثل VLC Media Player أو WinRAR أو Adobe Flash Player. ومع ذلك، فإن التطبيقات هي في الواقع أدوات تثبيت مزيفة تحتوي على البرمجيات الخبيثة Ghostpulse.

وبمجرد أن يقوم المستخدم بتنزيل برنامج التثبيت المزيف وتشغيله، تقوم البرمجية الخبيثة بتنفيذ سلسلة من الأوامر لتثبيت نفسها على النظام. ثم تنشئ البرمجية الخبيثة بابًا خلفيًا يسمح للمهاجمين بالوصول عن بُعد إلى الكمبيوتر المصاب وتنفيذ مجموعة متنوعة من الأنشطة الخبيثة، مثل:

– جمع بيانات الاعتماد وسجل المتصفح وملفات تعريف الارتباط والمعلومات الشخصية الأخرى

– تنزيل برمجيات خبيثة إضافية وتنفيذها

– التقط لقطات شاشة وسجل ضغطات المفاتيح.

– تعديل إعدادات النظام وإدخالات السجل.

– حذف الملفات أو تشفيرها

اكتشف الباحثون أيضًا أن Ghostpulse يستخدم العديد من التقنيات لتجنب الكشف والتحليل، مثل

– قم بتشفير اتصالك مع خادم الأوامر والتحكم.

– استخدام عمليات ويندوز الشرعية لإخفاء شيفرتك البرمجية الخبيثة

– إزالة آثاره بعد التنفيذ.

– التحقق من وجود برامج مكافحة الفيروسات أو الأجهزة الافتراضية أو أدوات تصحيح الأخطاء.

ويحذر الباحثون من أن فيروس Ghostpulse هو تهديد متطور ومستمر يمكن أن يسبب ضررًا كبيرًا للضحايا. وينصحون المستخدمين بتوخي الحذر عند تنزيل البرمجيات من مصادر غير معروفة والتحقق دائماً من صحة برامج التثبيت. كما يوصون باستخدام حل موثوق لمكافحة الفيروسات وتحديثه باستمرار للحماية من هجمات البرمجيات الخبيثة.

Ghostpulse: تهديد برمجية خبيثة جديدة تستغل حزم MSIX

MSIX هو تنسيق تغليف حديث لتطبيقات ويندوز يوفر العديد من المزايا للمطورين والمستخدمين، مثل سهولة التثبيت والتحديثات وإلغاء التثبيت. ومع ذلك، فإنه يشكل أيضًا خطرًا أمنيًا جديدًا، حيث يمكن للجهات الخبيثة استخدام حزم MSIX لإيصال البرمجيات الخبيثة إلى الضحايا غير المرتابين.

هذا ما تفعله برمجية Ghostpulse، وهي سلالة جديدة من البرمجيات الخبيثة التي اكتشفتها شركة Elastic Security Labs. تستخدم Ghostpulse حزم MSIX لوضع حمولة خبيثة على أنظمة ويندوز، والتي تقوم بعد ذلك بتنفيذ مجموعة متنوعة من الأنشطة الخبيثة، مثل سرقة بيانات الاعتماد أو تنزيل برامج ضارة إضافية أو تنفيذ الأوامر.

كيف يعمل Ghostpulse؟

يستغل Ghostpulse حقيقة أن حزم MSIX سهلة التثبيت ولا تتطلب امتيازات المسؤول. ينشئ المهاجمون حزم MSIX مزيفة تحاكي التطبيقات الشرعية، مثل المتصفحات أو أدوات الإنتاجية أو برامج مؤتمرات الفيديو. ثم يقومون بعد ذلك بتوزيع هذه الحزم من خلال مواقع الويب المخترقة أو تقنيات تحسين محركات البحث أو الحملات الإعلانية الخبيثة.

عندما يقوم المستخدم بتحميل وتشغيل إحدى حزم MSIX المزيفة هذه، يظهر له معالج تثبيت مزيف يبدو وكأنه حقيقي. ومع ذلك، تقوم الحزمة في الخلفية باستخراج وتشغيل ملف خبيث قابل للتنفيذ يبدأ عملية الإصابة.

ثم ينشئ البرنامج القابل للتنفيذ الخبيث مهمة مجدولة تعمل كل 10 دقائق وتبحث عن اتصال بالإنترنت. وإذا اكتشف وجود اتصال، يتصل بخادم الأوامر والتحكم (C2) ويرسل معلومات حول النظام المصاب، مثل عنوان IP واسم المضيف واسم المستخدم وإصدار نظام التشغيل. كما يتلقى أوامر من خادم C2، والتي قد توجهه لتنفيذ إجراءات مختلفة، مثل:

– تنزيل برمجيات خبيثة إضافية وتنفيذها من عنوان URL محدد

– تحميل الملفات من النظام المصاب إلى خادم C2

– تشغيل البرامج النصية أو الأوامر البرمجية PowerShell

– إنهاء العمليات أو حذف الملفات.

– تعديل إدخالات السجل أو قواعد جدار الحماية

كيف يمكن اكتشاف النبض الشبح والوقاية منه؟

برمجية Ghostpulse هي برمجية خبيثة خفية ومستمرة يمكنها التهرب من اكتشافها بواسطة برامج مكافحة الفيروسات وجدران الحماية. ومع ذلك، هناك بعض مؤشرات الاختراق (IOCs) التي يمكن أن تساعد في تحديد الأنظمة المصابة، بما في ذلك:

– وجود حزم MSIX بأسماء أو ناشرين مشبوهين في المجلد %LocalAppData%

– وجود مهام مجدولة بأسماء أو أوصاف عشوائية في برنامج جدولة المهام

– وجود اتصالات بالشبكة بنطاقات أو عناوين IP ضارة معروفة مرتبطة بـ Ghostpulse

للوقاية من الإصابة بفيروس Ghostpulse، يجب على المستخدمين توخي الحذر عند تنزيل حزم MSIX وتثبيتها من مصادر غير معروفة أو غير موثوق بها. كما يجب عليهم التحقق من التوقيع الرقمي وناشر حزمة MSIX قبل تنفيذها. وبالإضافة إلى ذلك، يجب عليهم استخدام برامج الأمان التي يمكنها اكتشاف حزم MSIX الخبيثة وحظرها وحظر حركة مرور الشبكة.

تراقب مختبرات Elastic Security Labs باستمرار مشهد التهديدات وتقوم بتحديث معلومات التهديدات وقواعد الكشف لحماية عملائها من Ghostpulse وغيرها من تهديدات البرمجيات الخبيثة الناشئة. لمعرفة المزيد عن Ghostpulse وكيفية اكتشافه باستخدام منتجات Elastic Security، راجع منشور المدونة هنا.