Investigadores de ciberseguridad de Elastic Security han descubierto una nueva versión del famoso software Ghostpulse malware Escondido en los píxeles de un archivo .PNG.
En su artículo técnico, los investigadores explican que los operadores de malware continúan mostrando niveles sorprendentes de creatividad y conocimiento, mientras encuentran nuevas formas de distribuir malware y ocultarlo… antivirus Programas y Protección de terminales Soluciones.
Se dijo que la medida representaba un cambio importante con respecto a la técnica de ofuscación anterior de Ghostpulse, que implicaba el uso indebido de la parte IDAT de los archivos PNG para ocultar cargas útiles maliciosas.
Leer archivos PNG
Para infectar a una víctima con malware, los estafadores primero utilizan la ingeniería social para engañar a la víctima para que visite un sitio web controlado por el atacante. Allí, al visitante se le presentará lo que parece ser su CAPTCHA estándar. Sin embargo, en lugar de encontrar imágenes de un perro o una boca de incendios, se solicita a los visitantes que presionen un atajo de teclado específico, que copia un fragmento de código JavaScript malicioso en el portapapeles.
Este código ejecuta un script de PowerShell que descarga y ejecuta la carga útil de Ghostpulse.
La carga útil es un archivo único: un “archivo ejecutable intacto pero vulnerable” que incluye un archivo PNG en su sección de recursos. El malware funciona mirando píxeles específicos y leyendo sus colores para recopilar información oculta en su interior. Los colores se dividen en pequeños fragmentos de datos, que luego se examinan mediante una especie de “prueba matemática” para ver si contienen instrucciones de malware ocultas.
Si pasan la prueba, el malware recopila la información, utiliza XOR para abrir y utiliza las instrucciones ocultas, infectando finalmente el punto final.
Ghostpulse se utiliza habitualmente como cargador y propaga malware más peligroso en sistemas comprometidos. Elastic Security ha descubierto que los estafadores lo utilizan con mayor frecuencia para implementar Lumma infostealer.
a través de Registro