- 13,264
- 20
- 8 Ноя 2022
Новая техника заражения маскирует код в цветах.
Команда Elastic Security Labs Для просмотра ссылки Войдиили Зарегистрируйся новую методику распространения вредоносного ПО GHOSTPULSE — загрузка данных через пиксели PNG-файла. Такой подход назван одним из самых значительных изменений в работе вредоносного ПО с момента его появления в 2023 году.
Ранее GHOSTPULSE (HIJACKLOADER, IDATLOADER) скрывало вредоносные данные в IDAT-блоках PNG-файлов. А новый алгоритм позволяет внедрять вредоносные данные непосредственно в структуру пикселей изображения, что усложняет обнаружение.
Новая версия уже активно используется в кибератаках, где применяются сложные тактики социальной инженерии. Примером являются кампании с использованием LUMMA STEALER, в которых пользователя вместо обычной CAPTCHA Для просмотра ссылки Войдиили Зарегистрируйся которая приводит к запуску скрипта, загружающему и выполняющему полезную нагрузку GHOSTPULSE.
Ранее вредоносная программа распространялась в виде пакета из нескольких файлов, включающего исполняемый файл, заражённую DLL и PNG с зашифрованной конфигурацией. В обновлённой версии весь процесс упрощён: один исполняемый файл содержит PNG-изображение в разделе ресурсов.
В новой версии сохраняются многие прежние элементы, включая алгоритм хеширования API Windows. Ключевое изменение касается метода поиска конфигурации. Вместо IDAT-блока данные теперь извлекаются из RGB-значений пикселей. Программа создаёт массив байтов, проходя по каждому пикселю и извлекая значения цветов. Затем производится поиск 16-байтовых блоков, где первые 4 байта представляют хэш CRC32, а оставшиеся 12 — данные для проверки. Совпадение хэша позволяет найти конфигурацию и ключ XOR для расшифровки.
Современные версии GHOSTPULSE демонстрируют значительно более высокий уровень сложности по сравнению с предыдущими, когда вредоносное ПО распространялось через подозрительные исполняемые файлы с помощью SEO-поисковой оптимизации и рекламных кампаний.
Такие методы позволяют GHOSTPULSE обходить традиционные сканеры, ориентированные на файлы. В условиях активного распространения Lumma среди киберпреступников важно обновить средства защиты. Специалисты Elastic Security обновили YARA-правила и инструмент для извлечения конфигураций, чтобы выявлять и анализировать GHOSTPULSE.
Команда Elastic Security Labs Для просмотра ссылки Войди
Ранее GHOSTPULSE (HIJACKLOADER, IDATLOADER) скрывало вредоносные данные в IDAT-блоках PNG-файлов. А новый алгоритм позволяет внедрять вредоносные данные непосредственно в структуру пикселей изображения, что усложняет обнаружение.
Новая версия уже активно используется в кибератаках, где применяются сложные тактики социальной инженерии. Примером являются кампании с использованием LUMMA STEALER, в которых пользователя вместо обычной CAPTCHA Для просмотра ссылки Войди
Ранее вредоносная программа распространялась в виде пакета из нескольких файлов, включающего исполняемый файл, заражённую DLL и PNG с зашифрованной конфигурацией. В обновлённой версии весь процесс упрощён: один исполняемый файл содержит PNG-изображение в разделе ресурсов.
В новой версии сохраняются многие прежние элементы, включая алгоритм хеширования API Windows. Ключевое изменение касается метода поиска конфигурации. Вместо IDAT-блока данные теперь извлекаются из RGB-значений пикселей. Программа создаёт массив байтов, проходя по каждому пикселю и извлекая значения цветов. Затем производится поиск 16-байтовых блоков, где первые 4 байта представляют хэш CRC32, а оставшиеся 12 — данные для проверки. Совпадение хэша позволяет найти конфигурацию и ключ XOR для расшифровки.
Современные версии GHOSTPULSE демонстрируют значительно более высокий уровень сложности по сравнению с предыдущими, когда вредоносное ПО распространялось через подозрительные исполняемые файлы с помощью SEO-поисковой оптимизации и рекламных кампаний.
Такие методы позволяют GHOSTPULSE обходить традиционные сканеры, ориентированные на файлы. В условиях активного распространения Lumma среди киберпреступников важно обновить средства защиты. Специалисты Elastic Security обновили YARA-правила и инструмент для извлечения конфигураций, чтобы выявлять и анализировать GHOSTPULSE.
- Источник новости
- www.securitylab.ru
