رایانه های شخصی ویندوزی با یک بدافزار جدید مورد هدف قرار می گیرند – این چیزی است که باید بدانید

Bia2 Host
رایانه های شخصی ویندوزی با یک بدافزار جدید مورد هدف قرار می گیرند – این چیزی است که باید بدانید

رایانه های شخصی ویندوزی با یک بدافزار جدید مورد هدف قرار می گیرند – این چیزی است که باید بدانید

محققان امنیت سایبری مشاهده کرده‌اند که هکرها از فایل‌های بسته برنامه ویندوز MSIX برای توزیع سوء استفاده می‌کنند بد افزار.

MSIX یک قالب بسته بندی نسبتا جدید و یکپارچه است که توسعه دهندگان می توانند از آن برای ایجاد برنامه های کاربردی ایمن و با کارایی بالا در سراسر پلتفرم ها استفاده کنند.

به گفته کارشناسان از آزمایشگاه های امنیتی الاستیک، شخصی در حال توزیع فایل های MSIX است که وانمود می کند پلتفرم های نرم افزاری محبوبی مانند Google Chrome، Microsoft Edge، Brave، Grammarly و Cisco Webex هستند. کانال های توزیع تایید نشده اند، اما محققان معتقدند که این ترکیبی از وب سایت های در معرض خطر، مسمومیت SEO، تبلیغات نادرست، رسانه های اجتماعی و فیشینگ است.

انگیزه های نامعلوم

بدافزار به عنوان یک لودر، یک کار دارد و آن حذف یکی از بارهای نهایی زیر است: SectopRAT، Rhadamanthys، Vidar، Lumma یا NetSupport RAT. در حالی که اینها ویژگی‌های متفاوتی دارند، مخرج مشترک دسترسی از راه دور، توانایی اجرای کد دلخواه و استخراج داده‌ها است.

کاربرانی که کلاهبرداری می کنند و فایل را اجرا می کنند، اعلانی با دکمه Install مشاهده می کنند. با فشار دادن دکمه، بارکننده بدافزار GHOSTPULSE به نقطه پایانی آن می‌ریزد.

جو دسیمون، محقق آزمایشگاه امنیتی Elastic توضیح داد: «MSIX نیاز به دسترسی به گواهی‌های امضای کد خریداری شده یا دزدیده شده دارد که آن‌ها را برای گروه‌هایی از منابع بالاتر از حد متوسط ​​قابل اجرا می‌کند.

Elastic Defend، راه حل امنیتی نقطه پایانی شرکت، این تهدید را با قوانین حفاظت از رفتار زیر شناسایی می کند:

پرس و جو DNS به دامنه سطح بالای مشکوک
بارگذاری کتابخانه یک فایل نوشته شده توسط یک پروکسی باینری امضا شده
تماس مشکوک API از یک DLL بدون امضا
نوشتن حافظه مشکوک در یک فرآیند راه دور
ایجاد فرآیند از NTDLL اصلاح شده

قانون YARA “Windows.Trojan.GhostPulse” همچنین لودرهای GHOSTPULSE را روی دیسک شناسایی می کند.

هیچ اطلاعاتی در مورد تعداد شرکت‌هایی که با GHOSTPULSE به خطر افتاده‌اند یا عامل تهدید کننده این کمپین کیست وجود ندارد. ما همچنین نمی‌دانیم بازی نهایی آنها چیست، اما با توجه به نوع بدافزاری که در مرحله نهایی توزیع می‌شود، می‌توان فرض کرد که این یک گروه با انگیزه مالی یا یک کارگزار دسترسی اولیه (IAB) است.

یک IAB معمولاً یک شبکه را نقض می کند و سپس دسترسی به دست آمده را به سایر عوامل تهدید مانند گروه های باج افزار می فروشد.

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/windows-pcs-are-being-targeted-with-a-nasty-new-malware-heres-what-you-need-to-know

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *