Ghostpulse-Malware zielt auf Windows-PCs mit gefälschten Anwendungsinstallationsprogrammen
Es wurde eine neue Malware-Kampagne entdeckt, die gefälschte Anwendungs-Installationsprogramme verwendet, um Windows-PCs mit einer bösartigen Nutzlast zu infizieren. Die Malware mit dem Namen Ghostpulse wurde entwickelt, um sensible Informationen von Opfern zu stehlen und die Erkennung durch Antiviren-Software zu umgehen.
Nach Angaben von Sicherheitsforschern wird Ghostpulse über Phishing-E-Mails verbreitet, die einen Link zu einer bösartigen Website enthalten. Die Website ahmt das Erscheinungsbild legitimer Software-Download-Seiten wie Softonic, CNET oder FileHippo nach und bietet mehrere beliebte Anwendungen wie VLC Media Player, WinRAR oder Adobe Flash Player an. In Wirklichkeit handelt es sich bei den Anwendungen jedoch um gefälschte Installationsprogramme, die die Ghostpulse-Malware enthalten.
Sobald der Benutzer das gefälschte Installationsprogramm heruntergeladen und ausgeführt hat, führt die Malware eine Reihe von Befehlen aus, um sich auf dem System zu installieren. Die Malware erstellt dann eine Hintertür, die es Angreifern ermöglicht, aus der Ferne auf den infizierten PC zuzugreifen und eine Reihe bösartiger Aktivitäten auszuführen, darunter:
– Sammlung von Anmeldedaten, Browserverlauf, Cookies und anderen persönlichen Informationen
– Herunterladen und Ausführen von zusätzlicher Malware
– Machen Sie Screenshots und zeichnen Sie Tastatureingaben auf.
– Ändern Sie Systemeinstellungen und Registrierungseinträge.
– Dateien löschen oder verschlüsseln
Die Forscher entdeckten auch, dass Ghostpulse mehrere Techniken verwendet, um sich der Entdeckung und Analyse zu entziehen, z. B:
– Verschlüsseln Sie Ihre Kommunikation mit dem Command and Control Server.
– Verwendung legitimer Windows-Prozesse, um Ihren bösartigen Code zu verstecken
– Entfernen Sie seine Spuren nach der Ausführung.
– Überprüfung auf das Vorhandensein von Antiviren-Software, virtuellen Maschinen oder Debugging-Tools.
Die Forscher warnen, dass Ghostpulse eine raffinierte und hartnäckige Bedrohung ist, die den Opfern erheblichen Schaden zufügen kann. Sie raten Anwendern, beim Herunterladen von Software aus unbekannten Quellen vorsichtig zu sein und die Authentizität von Installationsprogrammen stets zu überprüfen. Sie empfehlen außerdem, ein zuverlässiges Antivirenprogramm zu verwenden und es auf dem neuesten Stand zu halten, um sich vor Malware-Angriffen zu schützen.
Ghostpulse: eine neue Malware-Bedrohung, die MSIX-Pakete ausnutzt
MSIX ist ein modernes Paketierungsformat für Windows-Anwendungen, das Entwicklern und Anwendern viele Vorteile bietet, z. B. eine einfache Installation, Aktualisierung und Deinstallation. Es birgt jedoch auch ein neues Sicherheitsrisiko, da böswillige Akteure MSIX-Pakete nutzen können, um ahnungslosen Opfern Malware zu liefern.
Das ist es, was Ghostpulse, ein neuer Malware-Stamm, der von Elastic Security Labs entdeckt wurde, tut. Ghostpulse verwendet MSIX-Pakete, um eine bösartige Nutzlast auf Windows-Systemen zu platzieren, die dann eine Reihe bösartiger Aktivitäten ausführt, wie z. B. das Stehlen von Anmeldedaten, das Herunterladen zusätzlicher Malware oder das Ausführen von Befehlen.
Wie funktioniert Ghostpulse?
Ghostpulse nutzt die Tatsache aus, dass MSIX-Pakete einfach zu installieren sind und keine Administratorrechte erfordern. Angreifer erstellen gefälschte MSIX-Pakete, die legitime Anwendungen wie Browser, Produktivitätstools oder Videokonferenzsoftware imitieren. Sie verbreiten diese Pakete dann über kompromittierte Websites, SEO-Techniken oder Malvertising-Kampagnen.
Wenn ein Benutzer eines dieser gefälschten MSIX-Pakete herunterlädt und ausführt, wird ihm ein gefälschter Installationsassistent angezeigt, der wie der echte aussieht. Im Hintergrund extrahiert das Paket jedoch eine bösartige ausführbare Datei, die den Infektionsprozess einleitet, und führt sie aus.
Die bösartige ausführbare Datei erstellt dann eine geplante Aufgabe, die alle 10 Minuten ausgeführt wird und nach einer Internetverbindung sucht. Wenn er eine findet, stellt er eine Verbindung zu einem Command and Control (C2)-Server her und sendet Informationen über das infizierte System, wie z.B. die IP-Adresse, den Hostnamen, den Benutzernamen und die Version des Betriebssystems. Außerdem empfängt er Befehle vom C2-Server, die ihn anweisen können, verschiedene Aktionen durchzuführen, wie z. B.:
– Herunterladen und Ausführen von zusätzlicher Malware von einer bestimmten URL
– Hochladen von Dateien von dem infizierten System auf den C2-Server
– Ausführen von PowerShell-Skripten oder -Befehlen
– Beenden Sie Prozesse oder löschen Sie Dateien.
– Ändern Sie Registrierungseinträge oder Firewall-Regeln
Wie kann man Ghostpulse erkennen und verhindern?
Ghostpulse ist eine heimliche und hartnäckige Malware, die sich der Erkennung durch Antiviren-Software und Firewalls entziehen kann. Es gibt jedoch einige Indikatoren für eine Kompromittierung (IOCs), die helfen können, infizierte Systeme zu identifizieren, wie z.B.:
– Das Vorhandensein von MSIX-Paketen mit verdächtigen Namen oder Herausgebern im Ordner %LocalAppData%
– Das Vorhandensein von geplanten Aufgaben mit zufälligen Namen oder Beschreibungen im Aufgabenplaner
– Das Vorhandensein von Netzwerkverbindungen zu bekannten bösartigen Domänen oder IP-Adressen, die mit Ghostpulse in Verbindung stehen
Um Ghostpulse-Infektionen vorzubeugen, sollten Benutzer beim Herunterladen und Installieren von MSIX-Paketen aus unbekannten oder nicht vertrauenswürdigen Quellen vorsichtig sein. Sie sollten auch die digitale Signatur und den Herausgeber des MSIX-Pakets überprüfen, bevor sie es ausführen. Darüber hinaus sollten Sie Sicherheitssoftware verwenden, die bösartige MSIX-Pakete und Netzwerkverkehr erkennen und blockieren kann.
Elastic Security Labs überwacht kontinuierlich die Bedrohungslandschaft und aktualisiert seine Bedrohungsdaten und Erkennungsregeln, um seine Kunden vor Ghostpulse und anderen neuen Malware-Bedrohungen zu schützen. Wenn Sie mehr über Ghostpulse erfahren möchten und darüber, wie Sie es mit Elastic Security-Produkten erkennen können, lesen Sie unseren Blogbeitrag hier.
