Il malware Ghostpulse prende di mira i PC Windows con falsi programmi di installazione di applicazioni
È stata individuata una nuova campagna di malware che utilizza falsi programmi di installazione di applicazioni per infettare i PC Windows con un payload dannoso. Il malware, chiamato Ghostpulse, è progettato per rubare informazioni sensibili alle vittime ed eludere il rilevamento da parte dei software antivirus.
Secondo i ricercatori di sicurezza, Ghostpulse viene distribuito tramite e-mail di phishing contenenti un link a un sito web dannoso. Il sito web imita l’aspetto di siti legittimi di download di software, come Softonic, CNET o FileHippo, e offre diverse applicazioni popolari, come VLC Media Player, WinRAR o Adobe Flash Player. Tuttavia, le applicazioni sono in realtà dei falsi programmi di installazione contenenti il malware Ghostpulse.
Una volta che l’utente scarica ed esegue il falso programma di installazione, il malware esegue una serie di comandi per installarsi nel sistema. Il malware crea quindi una backdoor che consente agli aggressori di accedere da remoto al PC infetto e di eseguire una serie di attività dannose, quali:
– Raccolta di credenziali, cronologia del browser, cookie e altre informazioni personali
– Scaricare ed eseguire altro malware
– Scatta screenshot e registra le battute dei tasti.
– Modifica le impostazioni di sistema e le voci del registro.
– Elimina o cripta i file
I ricercatori hanno inoltre scoperto che Ghostpulse utilizza diverse tecniche per evitare il rilevamento e l’analisi, come ad esempio:
– Cripta la tua comunicazione con il server di comando e controllo.
– Utilizza i processi legittimi di Windows per nascondere il codice maligno
– Rimuovi le sue tracce dopo l’esecuzione.
– Verifica la presenza di software antivirus, macchine virtuali o strumenti di debug.
I ricercatori avvertono che Ghostpulse è una minaccia sofisticata e persistente che può causare danni significativi alle vittime. Consigliano agli utenti di fare attenzione quando scaricano software da fonti sconosciute e di verificare sempre l’autenticità dei programmi di installazione. Raccomandano inoltre di utilizzare una soluzione antivirus affidabile e di tenerla aggiornata per proteggersi dagli attacchi malware.
Ghostpulse: una nuova minaccia malware che sfrutta i pacchetti MSIX
MSIX è un moderno formato di packaging per le applicazioni Windows che offre molti vantaggi a sviluppatori e utenti, come la facilità di installazione, aggiornamento e disinstallazione. Tuttavia, rappresenta anche un nuovo rischio per la sicurezza, in quanto i malintenzionati possono utilizzare i pacchetti MSIX per distribuire malware a vittime ignare.
Questo è ciò che fa Ghostpulse, un nuovo ceppo di malware scoperto da Elastic Security Labs. Ghostpulse utilizza i pacchetti MSIX per inserire un payload dannoso nei sistemi Windows, che poi esegue una serie di attività dannose, come il furto di credenziali, il download di ulteriore malware o l’esecuzione di comandi.
Come funziona Ghostpulse?
Ghostpulse sfrutta il fatto che i pacchetti MSIX sono facili da installare e non richiedono i privilegi di amministratore. Gli aggressori creano pacchetti MSIX falsi che imitano applicazioni legittime, come browser, strumenti di produttività o software di videoconferenza. Poi distribuiscono questi pacchetti attraverso siti web compromessi, tecniche SEO o campagne di malvertising.
Quando un utente scarica ed esegue uno di questi falsi pacchetti MSIX, gli viene presentata una finta installazione guidata che sembra quella vera. Tuttavia, in background, il pacchetto estrae ed esegue un file eseguibile dannoso che avvia il processo di infezione.
L’eseguibile dannoso crea quindi un’attività pianificata che viene eseguita ogni 10 minuti e cerca una connessione a Internet. Se ne rileva una, si connette a un server di comando e controllo (C2) e invia informazioni sul sistema infetto, come l’indirizzo IP, il nome host, il nome utente e la versione del sistema operativo. Inoltre, riceve comandi dal server C2, che può istruirlo a eseguire varie azioni, come ad esempio:
– Scaricare ed eseguire ulteriori malware da un URL specifico
– Caricamento di file dal sistema infetto al server C2
– Esecuzione di script o comandi PowerShell
– Termina i processi o elimina i file.
– Modificare le voci del registro di sistema o le regole del firewall
Come individuare e prevenire Ghostpulse?
Ghostpulse è un malware furtivo e persistente che può eludere il rilevamento da parte di software antivirus e firewall. Tuttavia, esistono alcuni indicatori di compromissione (IOC) che possono aiutare a identificare i sistemi infetti, come ad esempio:
– La presenza di pacchetti MSIX con nomi o editori sospetti nella cartella %LocalAppData%
– La presenza di attività pianificate con nomi o descrizioni casuali nell’Utilità di Pianificazione delle Attività
– La presenza di connessioni di rete a domini o indirizzi IP noti come malevoli associati a Ghostpulse
Per prevenire le infezioni da Ghostpulse, gli utenti devono prestare attenzione quando scaricano e installano pacchetti MSIX da fonti sconosciute o non attendibili. Dovrebbero anche verificare la firma digitale e l’editore del pacchetto MSIX prima di eseguirlo. Inoltre, dovrebbero utilizzare un software di sicurezza in grado di rilevare e bloccare i pacchetti MSIX e il traffico di rete dannosi.
Elastic Security Labs monitora continuamente il panorama delle minacce e aggiorna le sue informazioni sulle minacce e le regole di rilevamento per proteggere i suoi clienti da Ghostpulse e da altre minacce malware emergenti. Per saperne di più su Ghostpulse e su come rilevarlo con i prodotti Elastic Security, consulta il nostro post sul blog qui.
