Ghostpulse-Malware zielt mit gefälschten App-Installationsprogrammen auf Windows-PCs ab
Es wurde eine neue Malware-Kampagne entdeckt, die gefälschte Anwendungsinstallationsprogramme verwendet, um PCs zu infizieren Windows mit einer bösartigen Nutzlast. Die Malware namens Ghostpulse soll sensible Informationen von Opfern stehlen und der Erkennung durch Antivirensoftware entgehen.
Laut Sicherheitsforschern wird Ghostpulse über Phishing-E-Mails verbreitet, die einen Link zu einer schädlichen Website enthalten. Die Website imitiert das Erscheinungsbild legitimer Software-Downloadseiten wie Softonic, CNET oder FileHippo und bietet mehrere beliebte Anwendungen wie VLC Media Player, WinRAR oder Adobe Flash Player. Allerdings handelt es sich bei den Anwendungen tatsächlich um gefälschte Installationsprogramme, die die Ghostpulse-Malware enthalten.
Sobald der Benutzer das gefälschte Installationsprogramm herunterlädt und ausführt, führt die Malware eine Reihe von Befehlen aus, um sich selbst auf dem System zu installieren. Die Malware erstellt dann eine Hintertür, die es Angreifern ermöglicht, aus der Ferne auf den infizierten PC zuzugreifen und verschiedene bösartige Aktivitäten auszuführen, wie zum Beispiel:
– Erfassung von Anmeldeinformationen, Browserverlauf, Cookies und anderen persönlichen Daten
– Laden Sie zusätzliche Malware herunter und führen Sie sie aus
– Machen Sie Screenshots und zeichnen Sie Tastatureingaben auf.
– Ändern Sie Systemeinstellungen und Registrierungseinträge.
– Dateien löschen oder verschlüsseln
Die Forscher fanden außerdem heraus, dass Ghostpulse mehrere Techniken verwendet, um Erkennung und Analyse zu vermeiden, wie zum Beispiel:
– Verschlüsseln Sie Ihre Kommunikation mit dem Command-and-Control-Server.
– Verwenden Sie legitime Windows-Prozesse, um Ihren Schadcode zu verbergen
– Beseitigen Sie seine Spuren nach der Ausführung.
– Überprüfung auf das Vorhandensein von Antivirensoftware, virtuellen Maschinen oder Debugging-Tools.
Forscher warnen, dass Ghostpulse eine raffinierte und hartnäckige Bedrohung ist, die den Opfern erheblichen Schaden zufügen kann. Sie raten Benutzern, beim Herunterladen von Software aus unbekannten Quellen vorsichtig zu sein und stets die Authentizität der Installationsprogramme zu überprüfen. Sie empfehlen außerdem, eine zuverlässige Antivirenlösung zu verwenden und diese auf dem neuesten Stand zu halten, um sich vor Malware-Angriffen zu schützen.
Ghostpulse: eine neue Malware-Bedrohung, die MSIX-Pakete ausnutzt
MSIX ist ein modernes Paketformat für Windows-Anwendungen, das viele Vorteile für Entwickler und Benutzer bietet, wie z. B. einfache Installation, Updates und Deinstallation. Es stellt jedoch auch ein neues Sicherheitsrisiko dar, da böswillige Akteure MSIX-Pakete verwenden können, um ahnungslosen Opfern Malware zu übermitteln.
Genau das macht Ghostpulse, ein neuer Malware-Typ, der von Elastic Security Labs entdeckt wurde. Ghostpulse nutzt MSIX-Pakete, um eine bösartige Nutzlast auf Windows-Systemen zu platzieren, die dann verschiedene bösartige Aktivitäten ausführt, wie zum Beispiel das Stehlen von Anmeldeinformationen, das Herunterladen zusätzlicher Malware oder das Ausführen von Befehlen .
Wie funktioniert Ghostpulse?
Ghostpulse macht sich die Tatsache zunutze, dass MSIX-Pakete einfach zu installieren sind und keine Administratorrechte erfordern. Angreifer erstellen gefälschte MSIX-Pakete, die legitime Anwendungen wie Browser, Produktivitätstools oder Videokonferenzsoftware imitieren. Anschließend verbreiten sie diese Pakete über manipulierte Websites, SEO-Techniken oder Malvertising-Kampagnen.
Wenn ein Benutzer eines dieser gefälschten MSIX-Pakete herunterlädt und ausführt, wird ihm ein gefälschter Installationsassistent angezeigt, der wie der echte aussieht. Im Hintergrund extrahiert das Paket jedoch eine schädliche ausführbare Datei und führt sie aus, wodurch der Infektionsprozess gestartet wird.
Die schädliche ausführbare Datei erstellt dann eine geplante Aufgabe, die alle 10 Minuten ausgeführt wird und nach einer Internetverbindung sucht. Wenn es eines erkennt, stellt es eine Verbindung zu einem Befehls- und Kontrollserver (C2) her und sendet Informationen über das infizierte System, wie z. B. seine IP-Adresse, seinen Hostnamen, seinen Benutzernamen und seine Betriebssystemversion. Es empfängt auch Befehle vom C2-Server, die es anweisen können, verschiedene Aktionen auszuführen, wie zum Beispiel:
– Laden Sie zusätzliche Malware von einer bestimmten URL herunter und führen Sie sie aus
– Hochladen von Dateien vom infizierten System auf den C2-Server
– Führen Sie Skripte oder PowerShell-Befehle aus
– Prozesse beenden oder Dateien löschen.
– Ändern Sie Registrierungseinträge oder Firewall-Regeln
Wie erkennt und verhindert man Ghostpulse?
Ghostpulse ist eine heimliche und hartnäckige Malware, die der Erkennung durch Antivirensoftware und Firewalls entgehen kann. Es gibt jedoch einige Kompromittierungsindikatoren (Indicators of Compromise, IOC), die dabei helfen können, infizierte Systeme zu identifizieren, wie zum Beispiel:
– Das Vorhandensein von MSIX-Paketen mit verdächtigen Namen oder Herausgebern im Ordner %LocalAppData%\Packages
– Das Vorhandensein geplanter Aufgaben mit zufälligen Namen oder Beschreibungen im Aufgabenplaner
– Das Vorhandensein von Netzwerkverbindungen zu bekannten bösartigen Domänen oder IP-Adressen, die mit Ghostpulse in Verbindung stehen
Um Ghostpulse-Infektionen zu verhindern, sollten Benutzer beim Herunterladen und Installieren von MSIX-Paketen aus unbekannten oder nicht vertrauenswürdigen Quellen vorsichtig sein. Sie sollten außerdem die digitale Signatur und den Herausgeber des MSIX-Pakets überprüfen, bevor sie es ausführen. Darüber hinaus müssen sie Sicherheitssoftware verwenden, die schädliche MSIX-Pakete und Netzwerkverkehr erkennen und blockieren kann.
Elastic Security Labs überwacht kontinuierlich die Bedrohungslandschaft und aktualisiert seine Bedrohungserkennungs- und Intelligence-Regeln, um seine Kunden vor Ghostpulse und anderen neuen Malware-Bedrohungen zu schützen. Weitere Informationen zu Ghostpulse und seiner Erkennung mit Elastic Security-Produkten finden Sie in unserem Blogbeitrag hier.