Non classé

Le malware Ghostpulse cible les PC Windows avec de faux installateurs d'applications

Windows

Une nouvelle campagne de malware a été détectée. Elle utilise de faux installateurs d'applications pour infecter les PC avec Windows avec une charge utile malveillante. Le malware, appelé Ghostpulse, est conçu pour voler des informations sensibles aux victimes et échapper à la détection par les logiciels antivirus.

Windows
Windows

Selon les chercheurs en sécurité, Ghostpulse est distribué via des e-mails de phishing contenant un lien vers un site Web malveillant. Le site Web imite l'apparence de sites de téléchargement de logiciels légitimes, tels que Softonic, CNET ou FileHippo, et propose plusieurs applications populaires, telles que VLC Media Player, WinRAR ou Adobe Flash Player. Cependant, les applications sont en réalité de faux installateurs contenant le malware Ghostpulse.

Une fois que l'utilisateur télécharge et exécute le faux programme d'installation, le malware exécute une série de commandes pour s'installer sur le système. Le malware crée ensuite une porte dérobée qui permet aux attaquants d'accéder à distance au PC infecté et d'effectuer diverses activités malveillantes, telles que :

– Collecte d’identifiants, historique du navigateur, cookies et autres données personnelles

– Téléchargez et exécutez des logiciels malveillants supplémentaires

– Prenez des captures d’écran et enregistrez les frappes.

– Modifier les paramètres système et les entrées de registre.

– Supprimer ou crypter des fichiers

Les chercheurs ont également découvert que Ghostpulse utilise plusieurs techniques pour éviter la détection et l'analyse, telles que :

– Chiffrez votre communication avec le serveur de commande et de contrôle.

– Utilisez des processus Windows légitimes pour masquer votre code malveillant

– Eliminer ses traces après exécution.

– Vérification de la présence de logiciels antivirus, de machines virtuelles ou d’outils de débogage.

Les chercheurs préviennent que Ghostpulse est une menace sophistiquée et persistante qui peut causer des dommages importants aux victimes. Ils conseillent aux utilisateurs d'être prudents lors du téléchargement de logiciels à partir de sources inconnues et de toujours vérifier l'authenticité des installateurs. Ils recommandent également d’utiliser une solution antivirus fiable et de la maintenir à jour pour vous protéger contre les attaques de logiciels malveillants.

Ghostpulse : une nouvelle menace de malware qui exploite les packages MSIX

MSIX est un format de packaging moderne pour les applications Windows qui offre de nombreux avantages aux développeurs et aux utilisateurs, tels qu'une installation, des mises à jour et une désinstallation faciles. Cependant, cela pose également un nouveau risque de sécurité, car des acteurs malveillants peuvent utiliser les packages MSIX pour transmettre des logiciels malveillants à des victimes sans méfiance.

C'est ce que fait Ghostpulse, une nouvelle souche de malware découverte par Elastic Security Labs. Ghostpulse utilise des packages MSIX pour placer une charge utile malveillante sur les systèmes Windows, qui effectue ensuite diverses activités malveillantes, telles que le vol d'informations d'identification, le téléchargement de logiciels malveillants supplémentaires ou l'exécution de commandes. .

Comment fonctionne Ghostpulse ?

Ghostpulse profite du fait que les packages MSIX sont faciles à installer et ne nécessitent pas de privilèges d'administrateur. Les attaquants créent de faux packages MSIX qui imitent des applications légitimes, telles que des navigateurs, des outils de productivité ou des logiciels de visioconférence. Ils distribuent ensuite ces packages via des sites Web compromis, des techniques de référencement ou des campagnes de publicité malveillante.

Lorsqu'un utilisateur télécharge et exécute l'un de ces faux packages MSIX, un faux assistant d'installation qui ressemble au vrai lui est présenté. Cependant, en arrière-plan, le package extrait et exécute un fichier exécutable malveillant qui démarre le processus d'infection.

Le fichier exécutable malveillant crée ensuite une tâche planifiée qui s'exécute toutes les 10 minutes et recherche une connexion Internet. S'il en détecte un, il se connecte à un serveur de commande et de contrôle (C2) et envoie des informations sur le système infecté, telles que son adresse IP, son nom d'hôte, son nom d'utilisateur et la version du système d'exploitation. Il reçoit également des commandes du serveur C2, qui peuvent lui demander d'effectuer diverses actions, telles que :

– Téléchargez et exécutez des logiciels malveillants supplémentaires à partir d’une URL spécifique

– Téléchargement de fichiers du système infecté vers le serveur C2

– Exécuter des scripts ou des commandes PowerShell

– Terminez les processus ou supprimez des fichiers.

– Modifier les entrées de registre ou les règles de pare-feu

Comment détecter et prévenir Ghostpulse ?

Ghostpulse est un malware furtif et persistant qui peut échapper à la détection par les logiciels antivirus et les pare-feu. Cependant, certains indicateurs de compromission (IOC) peuvent aider à identifier les systèmes infectés, tels que :

– La présence de packages MSIX avec des noms ou des éditeurs suspects dans le dossier %LocalAppData%\Packages

– La présence de tâches planifiées avec des noms ou des descriptions aléatoires dans le Planificateur de tâches

– La présence de connexions réseau vers des domaines malveillants connus ou des adresses IP associées à Ghostpulse

Pour éviter les infections Ghostpulse, les utilisateurs doivent être prudents lors du téléchargement et de l'installation de packages MSIX à partir de sources inconnues ou non fiables. Ils doivent également vérifier la signature numérique et l'éditeur du package MSIX avant de l'exécuter. De plus, ils doivent utiliser un logiciel de sécurité capable de détecter et de bloquer les paquets MSIX malveillants et le trafic réseau.

Elastic Security Labs surveille en permanence le paysage des menaces et met à jour ses règles de détection et de renseignement des menaces pour protéger ses clients contre Ghostpulse et d'autres menaces de logiciels malveillants émergentes. Pour en savoir plus sur Ghostpulse et comment le détecter avec les produits Elastic Security, consultez notre article de blog ici.