Новый компьютерный вирус Ghostpulse быстро распространяется в Интернете, особенно нацеливаясь на системы Windows. Он мастерски маскируется под установочные файлы MSIX популярных программ, тем самым заражая ничего не подозревающих пользователей.
Компания Elastic Security Labs сообщила о масштабах этой широкомасштабной кампании.
MSIX — это формат, используемый разработчиками для упаковки и распространения своих приложений в Windows. Благодаря простоте установки всего двойным щелчком мыши, хакеры сочли его весьма удобным инструментом. Однако киберпреступники, стоящие за Ghostpulse, вероятно, обладают значительными ресурсами, поскольку им необходимо приобретать или красть сертификаты подписи кода для своей вредоносной деятельности.
Хакеры применяют различные тактики, чтобы обманом заставить пользователей загрузить и установить эти вредоносные пакеты MSIX. Они используют взломанные веб-сайты, методы поисковой оптимизации и онлайн-рекламу, чтобы обмануть людей. Замаскированные пакеты часто имитируют установочные файлы популярных браузеров, таких как Chrome, Brave и Edge, а также других популярных программ, таких как Grammarly для изучения английского языка и Cisco Webex для видеоконференций.
Во время установки не отображаются предупреждающие знаки или всплывающие окна, что придает процессу вид нормального процесса. Однако в фоновом режиме выполняется сценарий PowerShell, который приводит к загрузке, расшифровке и развертыванию вируса Ghostpulse на зараженном компьютере. Лаборатория Elastic Security Labs разработала инструмент для обнаружения и борьбы с этим вирусом.
Точные цели киберпреступников остаются неясными, но сопутствующие вредоносные данные позволяют им получать удаленный доступ, выполнять произвольный код и красть конфиденциальные данные.
источник
уникальность
