Hacker Gunakan Paket Aplikasi MSIX untuk Menginfeksi PC Windows dengan Malware GHOSTPULSE
Cyberthreat.id - Serangan cyber terbaru diamati menggunakan file paket aplikasi MSIX Windows palsu untuk perangkat lunak populer seperti Google Chrome, Microsoft Edge, Brave, Grammarly, dan Cisco Webex untuk mendistribusikan pemuat malware baru yang dijuluki GHOSTPULSE.
“MSIX adalah format paket aplikasi Windows yang dapat dimanfaatkan oleh pengembang untuk mengemas, mendistribusikan, dan menginstal aplikasi mereka kepada pengguna Windows,” kata peneliti Elastic Security Labs Joe Desimone dalam laporan teknis yang diterbitkan minggu lalu sebagaimana dikutip The Hacker News.
"Namun, MSIX memerlukan akses ke sertifikat penandatanganan kode yang dibeli atau dicuri sehingga dapat digunakan oleh kelompok sumber daya di atas rata-rata."
Berdasarkan penginstal yang digunakan sebagai umpan, diduga bahwa target potensial terbujuk untuk mengunduh paket MSIX melalui teknik yang diketahui seperti situs web yang disusupi, keracunan optimasi mesin pencari (SEO), atau maliklan.
Meluncurkan file MSIX akan membuka Windows yang meminta pengguna untuk mengklik tombol Instal, sehingga menghasilkan pengunduhan GHOSTPULSE secara diam-diam pada host yang disusupi dari server jarak jauh ("manojsinghnegi[.]com") melalui skrip PowerShell.
Proses ini berlangsung dalam beberapa tahap, dengan payload pertama berupa file arsip TAR yang berisi file executable yang menyamar sebagai layanan Oracle VM VirtualBox (VBoxSVC.exe) namun kenyataannya adalah biner sah yang dibundel dengan Notepad++ (gup.exe).
Juga hadir dalam arsip TAR adalah handoff.wav dan versi trojan dari libcurl.dll yang dimuat untuk membawa proses infeksi ke tahap berikutnya dengan memanfaatkan fakta bahwa gup.exe rentan terhadap pemuatan samping DLL.
"PowerShell mengeksekusi biner VBoxSVC.exe yang akan memuat DLL libcurl.dll berbahaya dari direktori saat ini," kata Desimone kepada The Hacker News.
“Dengan meminimalkan jejak kode berbahaya terenkripsi pada disk, pelaku ancaman dapat menghindari pemindaian AV dan ML berbasis file.”
File DLL yang dirusak kemudian dilanjutkan dengan menguraikan handoff.wav, yang, pada gilirannya, mengemas muatan terenkripsi yang didekodekan dan dieksekusi melalui mshtml.dll, sebuah metode yang dikenal sebagai module stomping, untuk akhirnya memuat GHOSTPULSE.
GHOSTPULSE bertindak sebagai pemuat, menggunakan teknik lain yang dikenal sebagai proses doppelgänging untuk memulai eksekusi malware terakhir, yang meliputi SectopRAT, Rhadamanthys, Vidar, Lumma, dan NetSupport RAT.[]