El malware Ghostpulse se dirige a PC con Windows con instaladores de aplicaciones falsos
Se ha detectado una nueva campaña de malware que utiliza instaladores de aplicaciones falsos para infectar PC con Windows con una carga útil maliciosa. El malware, denominado Ghostpulse, está diseñado para robar información confidencial de las víctimas y evadir la detección del software antivirus.
Según los investigadores de seguridad, Ghostpulse se distribuye a través de correos electrónicos de phishing que contienen un enlace a un sitio web malicioso. El sitio web imita la apariencia de sitios legítimos de descarga de software, como Softonic, CNET o FileHippo, y ofrece varias aplicaciones populares, como VLC Media Player, WinRAR o Adobe Flash Player. Sin embargo, las aplicaciones son en realidad instaladores falsos que contienen el malware Ghostpulse.
Una vez que el usuario descarga y ejecuta el instalador falso, el malware ejecuta una serie de comandos para instalarse en el sistema. Luego, el malware crea una puerta trasera que permite a los atacantes acceder de forma remota a la PC infectada y realizar diversas actividades maliciosas, como:
– Recopilación de credenciales, historial del navegador, cookies y otros datos personales
– Descarga y ejecución de malware adicional
– Tomar capturas de pantalla y grabar pulsaciones de teclas.
– Modificar la configuración del sistema y las entradas del registro.
– Eliminar o cifrar archivos
Los investigadores también descubrieron que Ghostpulse utiliza varias técnicas para evitar la detección y el análisis, como por ejemplo:
– Cifrar su comunicación con el servidor de comando y control.
– Usar procesos legítimos de Windows para ocultar su código malicioso
– Eliminar sus rastros después de la ejecución.
– Comprobación de la presencia de software antivirus, máquinas virtuales o herramientas de depuración.
Los investigadores advierten que Ghostpulse es una amenaza sofisticada y persistente que puede causar daños importantes a las víctimas. Aconsejan a los usuarios que tengan cuidado al descargar software de fuentes desconocidas y que siempre verifiquen la autenticidad de los instaladores. También recomiendan utilizar una solución antivirus confiable y mantenerla actualizada para protegerse contra ataques de malware.
Ghostpulse: una nueva amenaza de malware que explota paquetes MSIX
MSIX es un formato de empaquetado moderno para aplicaciones de Windows que ofrece muchos beneficios para desarrolladores y usuarios, como fácil instalación, actualizaciones y desinstalación. Sin embargo, también plantea un nuevo riesgo de seguridad, ya que los actores malintencionados pueden utilizar paquetes MSIX para entregar malware a víctimas desprevenidas.
Esto es lo que hace Ghostpulse, una nueva cepa de malware descubierta por Elastic Security Labs. Ghostpulse utiliza paquetes MSIX para colocar una carga útil maliciosa en los sistemas Windows, que luego realiza diversas actividades maliciosas, como robar credenciales, descargar malware adicional o ejecutar comandos.
¿Cómo funciona Ghostpulse?
Ghostpulse aprovecha el hecho de que los paquetes MSIX son fáciles de instalar y no requieren privilegios de administrador. Los atacantes crean paquetes MSIX falsos que imitan aplicaciones legítimas, como navegadores, herramientas de productividad o software de videoconferencia. Luego distribuyen estos paquetes a través de sitios web comprometidos, técnicas de SEO o campañas de publicidad maliciosa.
Cuando un usuario descarga y ejecuta uno de estos paquetes MSIX falsos, se le presenta un asistente de instalación falso que se parece al real. Sin embargo, en segundo plano, el paquete extrae y ejecuta un archivo ejecutable malicioso que inicia el proceso de infección.
Luego, el archivo ejecutable malicioso crea una tarea programada que se ejecuta cada 10 minutos y busca una conexión a Internet. Si detecta uno, se conecta a un servidor de comando y control (C2) y envía información sobre el sistema infectado, como su dirección IP, nombre de host, nombre de usuario y versión del sistema operativo. También recibe comandos del servidor C2, que pueden indicarle que realice diversas acciones, como por ejemplo:
– Descargar y ejecutar malware adicional desde una URL específica
– Carga de archivos desde el sistema infectado al servidor C2
– Ejecutar scripts o comandos de PowerShell
– Terminar procesos o eliminar archivos.
– Modificar entradas de registro o reglas de firewall
¿Cómo detectar y prevenir Ghostpulse?
Ghostpulse es un malware sigiloso y persistente que puede evadir la detección del software antivirus y los firewalls. Sin embargo, existen algunos indicadores de compromiso (IOC) que pueden ayudar a identificar sistemas infectados, como:
– La presencia de paquetes MSIX con nombres o editores sospechosos en la carpeta %LocalAppData%\Packages
– La presencia de tareas programadas con nombres o descripciones aleatorias en el Programador de tareas
– La presencia de conexiones de red a dominios maliciosos conocidos o direcciones IP asociadas con Ghostpulse
Para prevenir infecciones por Ghostpulse, los usuarios deben tener cuidado al descargar e instalar paquetes MSIX de fuentes desconocidas o que no sean de confianza. También deben verificar la firma digital y el editor del paquete MSIX antes de ejecutarlo. Además, deben utilizar software de seguridad que pueda detectar y bloquear paquetes MSIX maliciosos y tráfico de red.
Elastic Security Labs monitorea continuamente el panorama de amenazas y actualiza sus reglas de detección e inteligencia de amenazas para proteger a sus clientes de Ghostpulse y otras amenazas de malware emergentes. Para obtener más información sobre Ghostpulse y cómo detectarlo con los productos Elastic Security, consulte nuestra publicación de blog aquí.