Non classifié(e)

Le logiciel malveillant Ghostpulse cible les PC Windows avec de faux programmes d’installation d’applications

Posted by author-avatar
On diciembre 3, 2023
Comentarios desactivados en Le logiciel malveillant Ghostpulse cible les PC Windows avec de faux programmes d’installation d’applications

Une nouvelle campagne de logiciels malveillants a été détectée. Elle utilise de faux programmes d’installation d’applications pour infecter les PC Windows avec une charge utile malveillante. Ce logiciel malveillant, baptisé Ghostpulse, est conçu pour voler des informations sensibles aux victimes et échapper à la détection des logiciels antivirus.

Fenêtres
Fenêtres

Selon les chercheurs en sécurité, Ghostpulse est distribué par le biais d’e-mails de phishing contenant un lien vers un site web malveillant. Ce site imite l’apparence de sites légitimes de téléchargement de logiciels, tels que Softonic, CNET ou FileHippo, et propose plusieurs applications populaires, telles que VLC Media Player, WinRAR ou Adobe Flash Player. Cependant, les applications sont en fait de faux installateurs contenant le logiciel malveillant Ghostpulse.

Une fois que l’utilisateur a téléchargé et exécuté le faux programme d’installation, le logiciel malveillant exécute une série de commandes pour s’installer sur le système. Il crée ensuite une porte dérobée qui permet aux attaquants d’accéder à distance à l’ordinateur infecté et d’effectuer toute une série d’activités malveillantes, par exemple

– Collecte d’informations d’identification, d’historique de navigation, de cookies et d’autres informations personnelles

– Téléchargement et exécution de logiciels malveillants supplémentaires

– Effectuez des captures d’écran et enregistrez les frappes au clavier.

– Modifier les paramètres du système et les entrées du registre.

– Supprimer ou crypter des fichiers

Les chercheurs ont également découvert que Ghostpulse utilise plusieurs techniques pour éviter d’être détecté et analysé :

– Cryptez vos communications avec le serveur de commande et de contrôle.

– Utilisation de processus Windows légitimes pour dissimuler votre code malveillant

– Supprimez ses traces après l’exécution.

– Vérifier la présence de logiciels antivirus, de machines virtuelles ou d’outils de débogage.

Les chercheurs avertissent que Ghostpulse est une menace sophistiquée et persistante qui peut causer des dommages importants aux victimes. Ils conseillent aux utilisateurs d’être prudents lorsqu’ils téléchargent des logiciels à partir de sources inconnues et de toujours vérifier l’authenticité des programmes d’installation. Ils recommandent également d’utiliser une solution antivirus fiable et de la maintenir à jour pour se protéger contre les attaques de logiciels malveillants.

Ghostpulse : une nouvelle menace de logiciel malveillant exploitant les paquets MSIX

MSIX est un format d’emballage moderne pour les applications Windows qui offre de nombreux avantages aux développeurs et aux utilisateurs, comme la facilité d’installation, de mise à jour et de désinstallation. Cependant, il présente également un nouveau risque pour la sécurité, car des acteurs malveillants peuvent utiliser des paquets MSIX pour diffuser des logiciels malveillants à des victimes qui ne se doutent de rien.

C’est ce que fait Ghostpulse, une nouvelle souche de logiciels malveillants découverte par Elastic Security Labs. Ghostpulse utilise des paquets MSIX pour placer une charge utile malveillante sur les systèmes Windows, qui effectue ensuite une série d’activités malveillantes, telles que le vol d’informations d’identification, le téléchargement de logiciels malveillants supplémentaires ou l’exécution de commandes.

Comment fonctionne Ghostpulse ?

Ghostpulse exploite le fait que les paquets MSIX sont faciles à installer et ne nécessitent pas de privilèges d’administrateur. Les attaquants créent de faux paquets MSIX qui imitent des applications légitimes, telles que des navigateurs, des outils de productivité ou des logiciels de vidéoconférence. Ils distribuent ensuite ces paquets par le biais de sites web compromis, de techniques de référencement ou de campagnes de publicité malveillante.

Lorsqu’un utilisateur télécharge et exécute l’un de ces faux paquets MSIX, il voit apparaître un faux assistant d’installation qui ressemble à s’y méprendre à la réalité. Cependant, en arrière-plan, le paquet extrait et exécute un fichier exécutable malveillant qui lance le processus d’infection.

L’exécutable malveillant crée ensuite une tâche programmée qui s’exécute toutes les 10 minutes et recherche une connexion internet. S’il en détecte une, il se connecte à un serveur de commande et de contrôle (C2) et envoie des informations sur le système infecté, telles que son adresse IP, son nom d’hôte, son nom d’utilisateur et la version de son système d’exploitation. Il reçoit également des commandes du serveur C2, qui peuvent lui ordonner d’effectuer diverses actions, par exemple :

– Téléchargement et exécution de logiciels malveillants supplémentaires à partir d’une URL spécifique

– Téléchargement de fichiers du système infecté vers le serveur C2

– Exécuter des scripts ou des commandes PowerShell

– Mettre fin à des processus ou supprimer des fichiers.

– Modifier les entrées du registre ou les règles du pare-feu

Comment détecter et prévenir Ghostpulse ?

Ghostpulse est un logiciel malveillant furtif et persistant qui peut échapper à la détection par les logiciels antivirus et les pare-feu. Toutefois, certains indicateurs de compromission (IOC) peuvent aider à identifier les systèmes infectés :

– Présence de paquets MSIX avec des noms ou des éditeurs suspects dans le dossier %LocalAppData%

– Présence de tâches programmées avec des noms ou des descriptions aléatoires dans le planificateur de tâches

– La présence de connexions réseau vers des domaines ou des adresses IP malveillants connus et associés à Ghostpulse.

Pour éviter les infections par Ghostpulse, les utilisateurs doivent être prudents lorsqu’ils téléchargent et installent des paquets MSIX à partir de sources inconnues ou non fiables. Ils doivent également vérifier la signature numérique et l’éditeur du paquet MSIX avant de l’exécuter. En outre, ils doivent utiliser un logiciel de sécurité capable de détecter et de bloquer les paquets MSIX et le trafic réseau malveillants.

Elastic Security Labs surveille en permanence le paysage des menaces et met à jour ses renseignements sur les menaces et ses règles de détection afin de protéger ses clients contre Ghostpulse et d’autres menaces émergentes de logiciels malveillants. Pour en savoir plus sur Ghostpulse et sur la manière de le détecter avec les produits Elastic Security, consultez notre article de blog ici.

Newer Microsoft estabilizó Windows con un ‘carro USB de la muerte’ itinerante
Back to list
Older L’approccio imperfetto di Microsoft agli aggiornamenti delle applicazioni crea scompiglio sui PC Windows

Related Posts

06 Feb
Non classifié(e)

Mise au point de Microsoft Defender : niveau de «tolérance zéro» et plus encore

Microsoft Defender est un puissant logiciel antivirus et anti-malware préinstallé sur les appareils Windows 10.
Il offre une protection en temps réel, une analyse basée sur le cloud et des mises à jour automatiques pour protéger votre système contre diverses menaces.
Cependant, certains utilisateurs peuvent vouloir personnaliser les paramètres de Microsoft Defender en fonction de leurs préférences et de leurs besoins.
Dans cet article de blog, nous vous montrerons comment ajuster Microsoft Defender pour atteindre un niveau de sécurité «tolérance zéro», ainsi que d’autres conseils et astuces utiles.

Seguir leyendo

05 Feb
Non classifié(e)

Microsoft et PayPal s’associent pour apporter la prise en charge de Venmo au Microsoft Store et au Xbox Store

Microsoft et PayPal ont annoncé un nouveau partenariat qui permettra aux utilisateurs de Venmo de faire des achats et de payer avec leur solde Venmo sur le Microsoft Store et la Xbox.
Il s’agit d’une extension significative de la portée de Venmo, qui permet à des millions de clients de Microsoft d’accéder à un moyen rapide et pratique de payer leurs applications, jeux, appareils et abonnements préférés.

Seguir leyendo

05 Feb
Non classifié(e)

Microsoft lance des machines virtuelles Azure basées sur des puces Arm et Ampere

Microsoft a annoncé la disponibilité de nouvelles machines virtuelles Azure (VM) fonctionnant sur des processeurs Ampere Arm.
Les nouvelles VM, appelées Ampere Altra, offrent jusqu’à 80 cœurs et 128 Go de mémoire, ce qui les rend idéales pour les charges de travail de calcul haute performance, d’analyse de données et d’apprentissage automatique.

Seguir leyendo

04 Feb
Non classifié(e)

La comédie des erreurs qui a permis à des pirates informatiques soutenus par la Chine de voler la clé de signature de Microsoft

En mars 2021, Microsoft a révélé une cyberattaque massive qui a compromis son logiciel de messagerie Exchange Server et affecté des dizaines de milliers d’organisations dans le monde entier.
L’attaque, attribuée à un groupe de pirates informatiques parrainé par l’État chinois et connu sous le nom de Hafnium, a exploité quatre vulnérabilités inconnues jusqu’alors dans Exchange Server pour accéder à des comptes de messagerie, voler des données et installer des logiciels malveillants.

Seguir leyendo

04 Feb
Non classifié(e)

L’unité de lutte contre la criminalité numérique de Microsoft explique comment elle perturbe la cybercriminalité

La cybercriminalité constitue une menace sérieuse pour la sécurité et la vie privée de millions de personnes et d’entreprises dans le monde.
Les cybercriminels utilisent diverses techniques pour voler des données, extorquer de l’argent, propager des logiciels malveillants et perturber des services essentiels.
Pour lutter contre cette menace croissante, Microsoft a créé une équipe d’experts qui travaillent sans relâche pour réprimer la cybercriminalité et protéger les clients.

Seguir leyendo

03 Feb
Non classifié(e)

Comment utiliser le mode de mise au point pour faire le travail dans Windows

Si vous cherchez un moyen de réduire les distractions et d’augmenter votre productivité, vous pouvez essayer le mode «Focus» de Windows.
Le mode Focus est une fonctionnalité qui vous permet de bloquer les notifications, les sons et les alertes provenant d’applications et de contacts susceptibles de vous interrompre dans votre travail.
Dans cet article de blog, nous allons vous montrer comment utiliser le mode Focus pour travailler sous Windows.

Seguir leyendo

03 Feb
Non classifié(e)

Comment effectuer une installation vraiment propre de Windows 11

Si vous avez déjà acheté un nouveau PC ( windows 11 ), vous avez peut-être remarqué qu’il est livré avec de nombreux logiciels préinstallés dont vous n’avez pas besoin ou que vous ne voulez pas.
C’est ce qu’on appelle les bloatwares, qui peuvent ralentir votre système, occuper un espace disque précieux et vous exposer à des risques de sécurité.
Le problème des bloatwares n’est pas nouveau, mais il s’est aggravé au fil des ans.
Dans le passé, les bloatwares provenaient principalement de vendeurs tiers qui payaient les fabricants de PC pour qu’ils intègrent leurs produits dans les nouvelles machines.
Il s’agissait souvent de versions d’essai de logiciels antivirus, de jeux ou de lecteurs multimédias qui vous incitaient à mettre à niveau ou à acheter la version complète.

Seguir leyendo

02 Feb
Non classifié(e)

Démarrez Windows 11 plus rapidement sans entrer de mot de passe : voici comment faire

Si vous avez installé Windows 11 sur votre PC, vous vous demandez peut-être comment contourner l’invite de saisie du mot de passe au démarrage de votre système.
Bien que la saisie du mot de passe de votre compte Microsoft ajoute une couche supplémentaire de sécurité, en particulier si vous partagez votre PC avec d’autres personnes ou si vous utilisez un ordinateur portable, elle peut également s’avérer peu pratique et chronophage si vous êtes le seul utilisateur d’un PC de bureau à la maison.

Seguir leyendo

02 Feb
Non classifié(e)

Adieu les bloatwares : comment faire le ménage dans Windows 11

Windows 11 est le dernier système d’exploitation de Microsoft et comporte de nombreuses nouvelles fonctionnalités et améliorations.
Cependant, il est également livré avec des applications et des programmes indésirables qui peuvent ralentir votre PC et occuper un espace disque précieux.
Ils sont appelés «bloatware» et peuvent être gênants et difficiles à supprimer.

Seguir leyendo

01 Feb
Non classifié(e)

Windows 12 : un testeur dévoilerait la première version de la nouvelle génération de Windows

Microsoft n’a pas encore officiellement confirmé qu’elle travaillait sur Windows 12, mais certains testeurs affirment qu’ils ont déjà accès à une première version du nouveau système d’exploitation.
Selon un rapport de Windows Central, certains membres du programme Windows Insider ont reçu le numéro de build 22000, qui ferait partie de Windows 12.

Seguir leyendo

01 Feb
Non classifié(e)

PhraseExpress

PhraseExpress est un logiciel puissant qui peut vous aider à automatiser la saisie de texte et à gagner du temps.
Que vous ayez besoin d’insérer des phrases fréquemment utilisées, de remplir des formulaires, de corriger des fautes d’orthographe ou de lancer des applications, PhraseExpress peut faire tout cela en quelques frappes ou clics de souris.

Seguir leyendo

01 Feb
Non classifié(e)

Microsoft et X soutiennent KOSA, le projet de loi controversé sur la sécurité en ligne des enfants

Microsoft et X ont annoncé leur soutien à KOSA, le projet de loi controversé qui vise à protéger les enfants contre les dangers en ligne.
Ce projet de loi, actuellement débattu au Congrès, obligerait les plateformes en ligne à mettre en place des systèmes de vérification de l’âge, des politiques de modération des contenus et des contrôles parentaux.
Le projet de loi a été critiqué par les groupes de défense des libertés civiles, qui estiment qu’il porterait atteinte à la liberté d’expression, à la vie privée et à l’innovation.

Seguir leyendo