Вредонос GHOSTPULSE пробирается на Windows-устройства через пакеты MSIX

Екатерина Быстрова 30 Октября 2023 - 18:16

...

Вредонос GHOSTPULSE пробирается на Windows-устройства через пакеты MSIX

В новой киберкампании злоумышленники прибегли к интересному способу доставки вредоносного загрузчика под названием GHOSTPULSE. На этот раз атакующим помогают пакеты MSIX для популярного Windows-софта: Google Chrome, Microsoft Edge, Brave, Grammarly и Cisco Webex.

Джо Дезимоне, один из специалистов компании Elastic Security Labs, пишет в опубликованном на днях отчёте:

«MSIX является форматом пакетов приложений Windows, который разработчики могут использовать для упаковки, распространения и инсталляции своего софта на компьютеры пользователей».

«При этом MSIX требует доступ к купленным или украденным сертификатам для подписи кода, что делает этот формат пригодным для групп с серьёзными ресурсами».

Судя по всему, киберпреступники используют взломанные веб-сайты, вклиниваются в SEO-оптимизацию и задействуют вредоносную рекламу для доставки вредоноса на устройства жертв. В первую очередь на эту уловку попадаются те, кто ищет популярный софт в Сети.

После запуска скачанного файла MSIX пользователь увидит кнопку «Установить», при нажатии на которую произойдёт скрытая загрузка GHOSTPULSE с удалённого сервера (manojsinghnegi[.]com). За этот процесс отвечает скрипт PowerShell.

Пейлоад первой ступени представляет собой TAR-архив, в котором содержится замаскированный под службу Oracle VM VirtualBox (VBoxSVC.exe) исполняемый файл. На деле же это связанный с Notepad++ бинарник — gup.exe.

В архиве также можно найти файл handoff.wav — троянизированную версию библиотеки libcurl.dll, которая приходится кстати из-за уязвимости gup.exe к сторонней загрузке DLL.

«PowerShell-скрипт выполняет VBoxSVC.exe, который загружает вредоносную библиотеку libcurl.dll. Злоумышленникам удаётся обойти антивирусные и другие защитные продукты за счёт минимальных следов на диске», — объясняет Дезимоне.

Дальше происходит парсинг файла handoff.wav, содержащего зашифрованный пейлоад. Он декодируется и запускается с помощью mshtml.dll. GHOSTPULSE, выступающий в качестве загрузчика, запускает вредонос последней ступени — как правило, троян для удалённого доступа.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 19:49

Windows Домашние пользователи Корпорации Microsoft

Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров

Microsoft начала постепенно включать встроенную поддержку Sysmon в Windows 11, пока только для части пользователей программы Windows Insider. О планах интегрировать Sysmon напрямую в Windows компания рассказывала ещё в ноябре, а теперь первые элементы этой функциональности добрались до тестовых сборок.

Речь идёт о нативной реализации System Monitor — известного инструмента из набора Sysinternals, который давно используется ИБ-специалистами и администраторами для мониторинга подозрительной активности в системе.

Sysmon умеет отслеживать базовые события вроде запуска и завершения процессов, а при дополнительной настройке — фиксировать создание исполняемых файлов, попытки подмены процессов, изменения в буфере обмена и другие нетривиальные действия. Все события пишутся в журнал Windows Event Log и могут использоваться системами безопасности и SIEM-решениями.

До сих пор Sysmon приходилось устанавливать вручную на каждую машину, что заметно усложняло его использование в крупных инфраструктурах. Теперь Microsoft решила встроить этот механизм прямо в ОС.

«Windows теперь нативно включает функциональность Sysmon. Она позволяет собирать системные события для задач детектирования угроз и использовать собственные конфигурации для фильтрации нужных данных», — сообщили в команде Windows Insider.

При этом встроенный Sysmon по умолчанию отключён. Чтобы им воспользоваться, функцию нужно явно включить в настройках Windows или через PowerShell. Важно учитывать, что если Sysmon ранее устанавливался вручную, его придётся удалить перед активацией встроенной версии.

Новая возможность уже доступна участникам Windows Insider в каналах Beta и Dev, которые установили сборки Windows 11 Preview Build 26220.7752 и 26300.7733 соответственно.

В Microsoft подчёркивают, что события Sysmon по-прежнему пишутся в стандартный журнал Windows, поэтому их можно использовать в существующих цепочках мониторинга и реагирования.

Напомним, что в прошлом месяце компания также начала тестировать отдельную политику, позволяющую администраторам полностью удалять ИИ-ассистента Copilot с управляемых устройств.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »