[30/10/2023] Se ha descubierto una nueva campaña de ciberataques que utiliza MSIX (un formato de empaquetado de aplicaciones de Windows) para infectar computadoras con Windows, y evitar la detección mediante la introducción de un cargador de malware sigiloso en la computadora de la víctima.
Los desarrolladores suelen utilizar MSIX para empaquetar, distribuir e instalar sus aplicaciones a los usuarios de Windows, y ahora se está utilizando para la infección inicial para entregar el cargador de malware, apodado Ghostpulse, han descubierto investigadores de Elastic Security Labs.
"En un escenario de ataque común, sospechamos que los usuarios son dirigidos a descargar paquetes MSIX maliciosos a través de sitios web comprometidos, técnicas de optimización de motores de búsqueda (SEO), o malvertising", dijeron los investigadores en una entrada de blog. "Los temas de enmascaramiento que hemos observado incluyen instaladores para Chrome, Brave, Edge, Grammarly y WebEx, por destacar algunos".
Los paquetes MSIX pueden instalarse a través del instalador de aplicaciones de Windows con un simple "doble clic", sin necesidad de utilizar una herramienta de despliegue y configuración como PowerShell. Sin embargo, el MSIX malicioso tiene que tener un certificado comprado o firmado para ser una ofensiva viable, añadieron los investigadores.
Infección inicial mediante carga lateral de DLL
Según los investigadores, la infección se lleva a cabo en varias etapas, comenzando por un ejecutable poser. Al ejecutar el archivo MSIX se abre una ventana que solicita una acción de instalación, que en última instancia da lugar a una descarga sigilosa de Ghostpulse.
En la primera etapa, el instalador descarga una carga útil de archivo de cinta (TAR), que es un ejecutable que se hace pasar por el servicio Oracle VM VirtualBox (VBoxSVC.exe), pero en realidad, es un binario legítimo que se incluye con Notepad ++ (gup.exe), que es vulnerable a sideloading, según los investigadores.
"El PowerShell ejecuta el binario VBoxSVC.exe que cargará lateralmente desde el directorio actual la DLL maliciosa libcurl.dll", añaden los investigadores. "Al minimizar la huella en disco del código malicioso cifrado, el actor de la amenaza es capaz de evadir el escaneo AV y ML basado en archivos".
Ghospulse utilizado como cargador
Ghostpulse emplea Process Doppelgänging y actúa como cargador, aprovechando la función de transacciones NTFS para inyectar la carga útil final en un nuevo proceso hijo, según el blog.
El malware final incluye varios infostealers, como SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.
"El objetivo de la Etapa 3 (paso final) de Ghostpulse es cargar y ejecutar la carga útil final en otro proceso", añadieron los investigadores. "Una parte interesante de la Etapa 3 es que sobrescribe sus instrucciones previamente ejecutadas con nuevas instrucciones para dificultar el análisis".
Los investigadores señalaron que el cargador Ghostpulse también es capaz de establecer persistencia.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú