O malware Ghostpulse tem como alvo PCs com Windows com instaladores de aplicativos falsos
Foi detectada uma nova campanha de malware que usa instaladores de aplicativos falsos para infectar PCs com Windows com uma carga maliciosa. O malware, chamado de Ghostpulse, foi projetado para roubar informações confidenciais das vítimas e evitar a detecção por software antivírus.
De acordo com os pesquisadores de segurança, o Ghostpulse é distribuído por meio de e-mails de phishing que contêm um link para um site malicioso. O site imita a aparência de sites legítimos de download de software, como Softonic, CNET ou FileHippo, e oferece vários aplicativos populares, como VLC Media Player, WinRAR ou Adobe Flash Player. No entanto, os aplicativos são, na verdade, instaladores falsos que contêm o malware Ghostpulse.
Depois que o usuário faz o download e executa o instalador falso, o malware executa uma série de comandos para se instalar no sistema. Em seguida, o malware cria um backdoor que permite que os invasores acessem remotamente o PC infectado e realizem uma série de atividades mal-intencionadas, como:
– Coleta de credenciais, histórico do navegador, cookies e outras informações pessoais
– Download e execução de malware adicional
– Faça capturas de tela e registre as teclas digitadas.
– Modificar as configurações do sistema e as entradas do registro.
– Excluir ou criptografar arquivos
Os pesquisadores também descobriram que o Ghostpulse usa várias técnicas para evitar a detecção e a análise, como:
– Criptografe sua comunicação com o servidor de comando e controle.
– Usar processos legítimos do Windows para ocultar seu código malicioso
– Remova seus rastros após a execução.
– Verificação da presença de software antivírus, máquinas virtuais ou ferramentas de depuração.
Os pesquisadores alertam que o Ghostpulse é uma ameaça sofisticada e persistente que pode causar danos significativos às vítimas. Eles aconselham os usuários a terem cuidado ao fazer download de software de fontes desconhecidas e a sempre verificar a autenticidade dos instaladores. Eles também recomendam que você use uma solução antivírus confiável e a mantenha atualizada para se proteger contra ataques de malware.
Ghostpulse: uma nova ameaça de malware que explora os pacotes MSIX
O MSIX é um formato de empacotamento moderno para aplicativos Windows que oferece muitos benefícios para desenvolvedores e usuários, como fácil instalação, atualizações e desinstalação. No entanto, ele também representa um novo risco de segurança, pois agentes mal-intencionados podem usar pacotes MSIX para distribuir malware a vítimas desavisadas.
É isso que o Ghostpulse, uma nova variedade de malware descoberta pelo Elastic Security Labs, faz. O Ghostpulse usa pacotes MSIX para colocar uma carga maliciosa nos sistemas Windows, que, em seguida, realiza diversas atividades maliciosas, como roubo de credenciais, download de malware adicional ou execução de comandos.
Como o Ghostpulse funciona?
O Ghostpulse explora o fato de que os pacotes MSIX são fáceis de instalar e não exigem privilégios de administrador. Os atacantes criam pacotes MSIX falsos que imitam aplicativos legítimos, como navegadores, ferramentas de produtividade ou software de videoconferência. Em seguida, eles distribuem esses pacotes por meio de sites comprometidos, técnicas de SEO ou campanhas de malvertising.
Quando um usuário baixa e executa um desses pacotes MSIX falsos, é apresentado a ele um assistente de instalação falso que se parece com o real. No entanto, em segundo plano, o pacote extrai e executa um arquivo executável malicioso que inicia o processo de infecção.
Em seguida, o executável mal-intencionado cria uma tarefa agendada que é executada a cada 10 minutos e procura uma conexão com a Internet. Se detectar uma, ele se conecta a um servidor de comando e controle (C2) e envia informações sobre o sistema infectado, como endereço IP, nome do host, nome de usuário e versão do sistema operacional. Ele também recebe comandos do servidor C2, que pode instruí-lo a executar várias ações, como:
– Fazer download e executar malware adicional a partir de um URL específico
– Fazer upload de arquivos do sistema infectado para o servidor C2
– Executar scripts ou comandos do PowerShell
– Encerrar processos ou excluir arquivos.
– Modificar entradas de registro ou regras de firewall
Como você pode detectar e evitar o Ghostpulse?
O Ghostpulse é um malware furtivo e persistente que pode evitar a detecção por softwares antivírus e firewalls. No entanto, existem alguns indicadores de comprometimento (IOCs) que podem ajudar a identificar sistemas infectados, como:
– A presença de pacotes MSIX com nomes ou editores suspeitos na pasta %LocalAppData%
– A presença de tarefas agendadas com nomes ou descrições aleatórias no Agendador de Tarefas
– A presença de conexões de rede com domínios maliciosos conhecidos ou endereços IP associados ao Ghostpulse
Para evitar infecções pelo Ghostpulse, os usuários devem ter cuidado ao baixar e instalar pacotes MSIX de fontes desconhecidas ou não confiáveis. Eles também devem verificar a assinatura digital e o editor do pacote MSIX antes de executá-lo. Além disso, devem usar um software de segurança que possa detectar e bloquear pacotes MSIX mal-intencionados e tráfego de rede. Além disso, você deve usar um software de segurança que possa detectar e bloquear pacotes MSIX mal-intencionados e tráfego de rede.
O Elastic Security Labs monitora continuamente o cenário de ameaças e atualiza suas regras de inteligência e detecção de ameaças para proteger seus clientes contra o Ghostpulse e outras ameaças emergentes de malware. Para saber mais sobre o Ghostpulse e como detectá-lo com os produtos Elastic Security, consulte nossa postagem no blog aqui.
