Insiden keamanan siber baru-baru ini telah mengidentifikasi strategi serangan siber baru yang melibatkan penggunaan file paket aplikasi MSIX Windows palsu. File berbahaya ini digunakan untuk mendistribusikan pemuat malware jenis baru yang disebut GHOSTPULSE. Para penyerang menargetkan perangkat lunak populer seperti Google Chrome, Microsoft Edge, Brave, Grammarly, dan Cisco Webex.
MSIX adalah format paket aplikasi Windows yang dapat digunakan pengembang untuk menggabungkan, mendistribusikan, dan menginstal perangkat lunak mereka pada sistem Windows. Menurut peneliti Elastic Security Labs Joe Desimone, yang menerbitkan laporan teknis minggu lalu, MSIX mengandalkan akses ke sertifikat penandatanganan kode yang diperoleh atau dicuri secara sah, yang menjadikannya pilihan menarik bagi kelompok dengan sumber daya besar.
Pilihan umpan dalam bentuk file penginstal menunjukkan bahwa individu atau organisasi yang menjadi sasaran mungkin terpikat untuk mengunduh paket MSIX menggunakan taktik yang sudah mapan, termasuk situs web yang disusupi, manipulasi optimasi mesin pencari (SEO), atau iklan berbahaya.
Ketika file MSIX dijalankan, prompt Windows muncul, meminta pengguna untuk mengklik tombol “Instal”. Apabila pengguna melakukan penginstallan maka akan terjadi pengunduhan rahasia GHOSTPULSE ke komputer yang disusupi dari server jarak jauh yang terletak di “manojsinghnegi[.]com” melalui skrip PowerShell.
Operasi ini berlangsung dalam beberapa fase, dimulai dengan muatan awal yang dikemas dalam file arsip TAR. Payload ini terdiri dari executable yang dirancang untuk meniru layanan Oracle VM VirtualBox (VBoxSVC.exe), yang sebenarnya merupakan biner valid yang dibundel dengan Notepad++ (gup.exe).
Di dalam arsip TAR, Anda juga dapat menemukan file bernama handoff.wav dan versi modifikasi dari libcurl.dll yang telah diubah untuk memajukan proses infeksi lebih lanjut. Manipulasi ini memanfaatkan kerentanan gup.exe untuk memuat libcurl.dll yang diubah, sehingga memfasilitasi tahap infeksi selanjutnya melalui pemuatan samping DLL.
Desimone menjelaskan bahwa skrip PowerShell memulai eksekusi biner VBoxSVC.exe, yang kemudian melakukan sideload DLL berbahaya, libcurl.dll, dari direktori saat ini. Pendekatan ini bertujuan untuk meminimalkan keberadaan kode berbahaya terenkripsi pada disk, sehingga memungkinkannya menghindari deteksi oleh antivirus berbasis file dan pemindaian pembelajaran mesin.
Selanjutnya, DLL yang dirusak melanjutkan dengan menganalisis file handoff.wav, yang berisi muatan terenkripsi. Payload ini didekodekan dan dieksekusi melalui mshtml.dll menggunakan teknik yang disebut module stomping. Proses ini pada akhirnya mengarah pada aktivasi GHOSTPULSE.
GHOSTPULSE berfungsi sebagai pemuat dan menggunakan metode lain yang disebut proses doppelgänging untuk memulai eksekusi malware terakhir. Ini mencakup berbagai perangkat lunak berbahaya seperti SectopRAT, Rhadamanthys, Vidar, Lumma, dan NetSupport RAT.
Sumber :
https://thehackernews.com/2023/10/hackers-using-msix-app-packages-to.html