Новости Невидимый вирус: GHOSTPULSE прячется в пикселях обычных картинок

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Новая техника заражения маскирует код в цветах.


8ihaqlc8akloi63wngz7p9lkrx908p1d.jpg


Команда Elastic Security Labs Для просмотра ссылки Войди или Зарегистрируйся новую методику распространения вредоносного ПО GHOSTPULSE — загрузка данных через пиксели PNG-файла. Такой подход назван одним из самых значительных изменений в работе вредоносного ПО с момента его появления в 2023 году.

Ранее GHOSTPULSE (HIJACKLOADER, IDATLOADER) скрывало вредоносные данные в IDAT-блоках PNG-файлов. А новый алгоритм позволяет внедрять вредоносные данные непосредственно в структуру пикселей изображения, что усложняет обнаружение.

Новая версия уже активно используется в кибератаках, где применяются сложные тактики социальной инженерии. Примером являются кампании с использованием LUMMA STEALER, в которых пользователя вместо обычной CAPTCHA Для просмотра ссылки Войди или Зарегистрируйся которая приводит к запуску скрипта, загружающему и выполняющему полезную нагрузку GHOSTPULSE.

Ранее вредоносная программа распространялась в виде пакета из нескольких файлов, включающего исполняемый файл, заражённую DLL и PNG с зашифрованной конфигурацией. В обновлённой версии весь процесс упрощён: один исполняемый файл содержит PNG-изображение в разделе ресурсов.

В новой версии сохраняются многие прежние элементы, включая алгоритм хеширования API Windows. Ключевое изменение касается метода поиска конфигурации. Вместо IDAT-блока данные теперь извлекаются из RGB-значений пикселей. Программа создаёт массив байтов, проходя по каждому пикселю и извлекая значения цветов. Затем производится поиск 16-байтовых блоков, где первые 4 байта представляют хэш CRC32, а оставшиеся 12 — данные для проверки. Совпадение хэша позволяет найти конфигурацию и ключ XOR для расшифровки.

Современные версии GHOSTPULSE демонстрируют значительно более высокий уровень сложности по сравнению с предыдущими, когда вредоносное ПО распространялось через подозрительные исполняемые файлы с помощью SEO-поисковой оптимизации и рекламных кампаний.

Такие методы позволяют GHOSTPULSE обходить традиционные сканеры, ориентированные на файлы. В условиях активного распространения Lumma среди киберпреступников важно обновить средства защиты. Специалисты Elastic Security обновили YARA-правила и инструмент для извлечения конфигураций, чтобы выявлять и анализировать GHOSTPULSE.
 
Источник новости
www.securitylab.ru

Похожие темы