Senza categoria

Il malware Ghostpulse prende di mira i PC Windows con programmi di installazione di app false

Windows

È stata rilevata una nuova campagna malware che utilizza programmi di installazione di applicazioni false per infettare i PC Windows con un payload dannoso. Il malware, chiamato Ghostpulse, è progettato per rubare informazioni sensibili alle vittime ed eludere il rilevamento da parte del software antivirus.

Windows
Windows

Secondo i ricercatori sulla sicurezza, Ghostpulse viene distribuito tramite e-mail di phishing che contengono un collegamento a un sito Web dannoso. Il sito Web imita l'aspetto di siti di download di software legittimi, come Softonic, CNET o FileHippo, e offre diverse applicazioni popolari, come VLC Media Player, WinRAR o Adobe Flash Player. Tuttavia, le applicazioni sono in realtà programmi di installazione falsi che contengono il malware Ghostpulse.

Una volta che l'utente scarica ed esegue il falso programma di installazione, il malware esegue una serie di comandi per installarsi nel sistema. Il malware crea quindi una backdoor che consente agli aggressori di accedere in remoto al PC infetto ed eseguire varie attività dannose, come:

– Raccolta di credenziali, cronologia del browser, cookie e altri dati personali

– Scarica ed esegui malware aggiuntivo

- Acquisisci screenshot e registra le sequenze di tasti.

– Modificare le impostazioni di sistema e le voci di registro.

– Elimina o crittografa i file

I ricercatori hanno anche scoperto che Ghostpulse utilizza diverse tecniche per evitare il rilevamento e l'analisi, come ad esempio:

– Crittografa la tua comunicazione con il server di comando e controllo.

– Utilizza processi Windows legittimi per nascondere il codice dannoso

– Eliminarne le tracce dopo l'esecuzione.

– Verifica della presenza di software antivirus, macchine virtuali o strumenti di debug.

I ricercatori avvertono che Ghostpulse è una minaccia sofisticata e persistente che può causare danni significativi alle vittime. Consigliano agli utenti di fare attenzione quando scaricano software da fonti sconosciute e di verificare sempre l'autenticità degli installatori. Consigliano inoltre di utilizzare una soluzione antivirus affidabile e di mantenerla aggiornata per proteggersi dagli attacchi di malware.

Ghostpulse: una nuova minaccia malware che sfrutta i pacchetti MSIX

MSIX è un formato di packaging moderno per le applicazioni Windows che offre numerosi vantaggi per sviluppatori e utenti, come installazione, aggiornamenti e disinstallazione semplici. Tuttavia, rappresenta anche un nuovo rischio per la sicurezza, poiché gli autori malintenzionati possono utilizzare i pacchetti MSIX per distribuire malware a vittime ignare.

Questo è ciò che fa Ghostpulse, un nuovo ceppo di malware scoperto da Elastic Security Labs. Ghostpulse utilizza i pacchetti MSIX per inserire un payload dannoso sui sistemi Windows, che poi esegue varie attività dannose, come rubare credenziali, scaricare malware aggiuntivo o eseguire comandi .

Come funziona Ghostpulse?

Ghostpulse sfrutta il fatto che i pacchetti MSIX sono facili da installare e non richiedono privilegi di amministratore. Gli aggressori creano pacchetti MSIX falsi che imitano applicazioni legittime, come browser, strumenti di produttività o software di videoconferenza. Quindi distribuiscono questi pacchetti attraverso siti Web compromessi, tecniche SEO o campagne di malvertising.

Quando un utente scarica ed esegue uno di questi pacchetti MSIX falsi, gli viene presentata una procedura guidata di installazione falsa che assomiglia a quella reale. Tuttavia, in background, il pacchetto estrae ed esegue un file eseguibile dannoso che avvia il processo di infezione.

Il file eseguibile dannoso crea quindi un'attività pianificata che viene eseguita ogni 10 minuti e cerca una connessione Internet. Se ne rileva uno, si connette a un server di comando e controllo (C2) e invia informazioni sul sistema infetto, come indirizzo IP, nome host, nome utente e versione del sistema operativo. Riceve anche comandi dal server C2, che può istruirlo a eseguire varie azioni, come:

– Scarica ed esegui malware aggiuntivo da un URL specifico

– Caricamento di file dal sistema infetto al server C2

– Esegui script o comandi PowerShell

– Terminare processi o eliminare file.

– Modificare le voci del registro o le regole del firewall

Come rilevare e prevenire Ghostpulse?

Ghostpulse è un malware furtivo e persistente che può eludere il rilevamento da parte di software antivirus e firewall. Tuttavia, esistono alcuni indicatori di compromissione (IOC) che possono aiutare a identificare i sistemi infetti, come:

– La presenza di pacchetti MSIX con nomi o editori sospetti nella cartella %LocalAppData%\Packages

– La presenza di attività pianificate con nomi o descrizioni casuali nell'Utilità di pianificazione

– La presenza di connessioni di rete a domini dannosi noti o indirizzi IP associati a Ghostpulse

Per prevenire le infezioni Ghostpulse, gli utenti dovrebbero prestare attenzione durante il download e l'installazione di pacchetti MSIX da fonti sconosciute o non attendibili. Dovrebbero inoltre verificare la firma digitale e l'editore del pacchetto MSIX prima di eseguirlo. Inoltre, devono utilizzare un software di sicurezza in grado di rilevare e bloccare pacchetti MSIX e traffico di rete dannosi.

Elastic Security Labs monitora continuamente il panorama delle minacce e aggiorna le regole di rilevamento e intelligence delle minacce per proteggere i propri clienti da Ghostpulse e altre minacce malware emergenti. Per ulteriori informazioni su Ghostpulse e su come rilevarlo con i prodotti Elastic Security, consulta il nostro post sul blog qui.