ADVERTISEMENT
Ghostpulse 惡意軟體現在透過 PNG 影像檔案的像素來提取其主要酬載。安全專家表示,這是自 2023 年推出以來,幕後黑手所做的「最重大改變之一」。
PNG 圖片格式普遍用於網頁圖形,由於其為無損格式,能保留關鍵細節(例如平滑的文字輪廓),因此經常被選擇用於取代有損壓縮的 JPG 檔案。
Elastic Security Labs 的薩利姆·比塔姆(Salim Bitam)指出,Ghostpulse 常被用於攻擊活動中,作為更危險惡意軟體(如 Lumma 資訊竊取器)的載入器,而最新的變化使其更難以被偵測。
ADVERTISEMENT
早期版本的 Ghostpulse 也很難偵測,並使用諸如將酬載隱藏在 PNG 檔案的 IDAT 區塊等隱密方法。然而,它現在會解析圖片的像素,將惡意資料嵌入其結構中。
「該惡意軟體透過使用 GdiPlus(GDI+) 函式庫中的標準 Windows API,依序提取每個像素的紅、綠、藍 (RGB) 值來建構一個位元組陣列,」比塔姆表示。「一旦位元組陣列建立完成,惡意軟體就會搜尋包含加密 Ghostpulse 設定的結構起點,包括解密所需的 XOR 金鑰。」
「它透過以 16 位元組區塊迴圈讀取位元組陣列來做到這一點。對於每個區塊,前四個位元組代表 CRC32 雜湊值,而接下來的 12 個位元組是要進行雜湊的資料。惡意軟體會計算 12 個位元組的 CRC32,並檢查它是否與雜湊值相符。如果找到相符的項目,它就會提取加密 Ghostpulse 設定的偏移量、其大小和四位元組 XOR 金鑰,然後進行 XOR 解密。」
ADVERTISEMENT
Ghostpulse 絕非首個將惡意文件隱藏於像素中的惡意軟體。然而,這一發現表明,幕後的不法之徒展現了一貫的狡猾手段。
該技術與最初用於下載檔案的社交工程技術相輔相成。比塔姆表示,受害者會被誘騙造訪攻擊者控制的網站,並驗證看似例行性的 CAPTCHA。
然而,受害者並非勾選方塊或一系列與提示相符的影像,而是被指示輸入特定的鍵盤快捷鍵,將惡意 JavaScript 複製到使用者的剪貼簿。接著,會執行一個 PowerShell 指令碼,下載並執行 Ghostpulse 酬載。
ADVERTISEMENT
McAfee 最近也發現了使用相同方法來投放 Lumma 的情況,但並未提及 Ghostpulse 的參與。其研究人員指出,GitHub 使用者被特別鎖定,使用據稱要求他們修復不存在的安全漏洞的電子郵件。
與 Ghostpulse 早期版本依賴受害者下載惡意執行檔的情況相比,這一手法的精密程度顯著提高,這些早期版本是透過 SEO 毒化或惡意廣告推廣來誘導下載的。
透過使用這些技術,該惡意軟體能夠有效地規避簡單的、基於檔案的惡意軟體掃描方法,而且鑑於 Lumma 在網路犯罪分子中的普及程度,確保防禦措施能夠阻止它是個好主意。
ADVERTISEMENT
Cyfirma 的專家將 Lumma 描述為一種「強大」且「精密」的惡意軟體即服務(MaaS)產品,自 2022 年以來就已存在。它鎖定所有類型的資料,包括敏感類型和來源,例如加密貨幣錢包、網頁瀏覽器、電子郵件用戶端和雙因素驗證瀏覽器擴充功能。
根據 Darktrace 的說法,取得 Lumma 的價格最低只要 250 美元,原始碼的價格可能高達 20,000 美元。
它經常透過流行軟體的木馬化下載進行分發,並且其所涉及的眾多活動假冒為各種組織,例如在 ChatGPT 更新風波之後的幾天內,就有活動假冒 CrowdStrike。
「反映了資訊竊取器在網路威脅環境中普遍出現和興起的趨勢,Lumma 竊取器仍然是組織和個人共同關注的一個重大問題,」Darktrace 表示。
Lumma 也被指控為利用 Google 零時差漏洞來維持對受感染帳戶的存取權的資訊竊取器之一,即使在密碼更改後,它仍然能夠保持對受害帳戶的存取。
如果你實施了 Elastic 去年發布的 YARA 規則,這些規則仍然足以保護你的組織免受惡意軟體最終感染階段的影響,比塔姆表示,儘管它最近發布了一些更新的規則,可以更快地捕捉到 Ghostpulse 的行為。
「總之,Ghostpulse 惡意軟體家族自 2023 年發布以來不斷發展,最近的這次更新象徵著最重大的變化之一,」比塔姆表示。「隨著攻擊者不斷創新,防禦者必須透過利用更新的工具和技術來有效地減輕這些威脅。」
ADVERTISEMENT