- Actualités
- >cybersécurité
Des pirates utilisent des paquets d’applications MSIX pour infecter des PC Windows avec le logiciel malveillant GHOSTPULSE
- par Kenan
- , Publié le 1 novembre 2023
- , à1 h 16 min
Une nouvelle campagne de cyberattaque a été observée, utilisant de faux fichiers MSIX Windows app package pour des logiciels populaires tels que Google Chrome, Microsoft Edge, Brave, Grammarly et Cisco Webex, afin de distribuer un nouveau chargeur de logiciels malveillants baptisé GHOSTPULSE.
« MSIX est un format de paquetage d’applications Windows que les développeurs peuvent utiliser pour emballer, distribuer et installer leurs applications aux utilisateurs de Windows », a déclaré Joe Desimone, chercheur chez Elastic Security Labs, dans un rapport technique publié la semaine dernière.
« Cependant, MSIX nécessite l’accès à des certificats de signature de code achetés ou volés, ce qui les rend viables pour les groupes disposant de ressources supérieures à la moyenne. »
D’après les installateurs utilisés comme appâts, on soupçonne que les cibles potentielles sont incitées à télécharger les paquets MSIX par des techniques connues telles que les sites web compromis, l’optimisation des moteurs de recherche (SEO) ou la publicité malveillante.
Le lancement du fichier MSIX ouvre une fenêtre invitant les utilisateurs à cliquer sur le bouton Installer, ce qui entraîne le téléchargement furtif de GHOSTPULSE sur l’hôte compromis à partir d’un serveur distant (« manojsinghnegi[.]com ») par l’intermédiaire d’un script PowerShell.
Ce processus se déroule en plusieurs étapes, la première charge utile étant un fichier d’archive TAR contenant un exécutable qui se fait passer pour le service Oracle VM VirtualBox (VBoxSVC.exe), mais qui est en réalité un binaire légitime intégré à Notepad++ (gup.exe). L’archive TAR contient également handoff.wav et une version trojanisée de libcurl.dll qui est chargée pour faire passer le processus d’infection à l’étape suivante en exploitant le fait que gup.exe est vulnérable au chargement latéral de DLL.
« Le PowerShell exécute le binaire VBoxSVC.exe qui chargera latéralement la DLL malveillante libcurl.dll à partir du répertoire actuel », explique M. Desimone. « En minimisant l’empreinte du code malveillant crypté sur le disque, l’acteur de la menace est en mesure d’échapper à l’antivirus basé sur les fichiers et à l’analyse ML.
Le fichier DLL altéré procède ensuite à l’analyse du fichier handoff.wav qui, à son tour, contient une charge utile chiffrée décodée et exécutée via mshtml.dll, une méthode connue sous le nom de module stomping, pour finalement charger GHOSTPULSE.
GHOSTPULSE agit comme un chargeur employant une autre technique connue sous le nom de process doppelgänging pour lancer l’exécution du logiciel malveillant final qui comprend SectopRAT Rhadamanthys Vidar Lumma et NetSupport RAT.
L’acteur de la menace est capable de minimiser l’empreinte du code malveillant chiffré sur le disque.