Компания Elastic Security обнаружила значительные усовершенствования во вредоносной программе GHOSTPULSE, которая претерпела значительные изменения с момента своего обнаружения в 2023 году.
GHOSTPULSE Malware
Изначально GHOSTPULSE прятал свою вредоносную полезную нагрузку в IDAT-фрагменте PNG-файлов, но последние версии теперь встраивают зашифрованные данные непосредственно в пиксельную структуру изображений. Недавние кампании, использующие эту вредоносную программу, применяют тактику социальной инженерии, например, поддельные проверки CAPTCHA, которые обманывают пользователей, заставляя их выполнить вредоносные комбинации клавиш Windows. Эти сочетания клавиш ведут к сценариям PowerShell, которые запускают цепочку заражения. В недавних кампаниях также было замечено использование GHOSTPULSE в качестве загрузчика для развертывания Lumma Stealer. Вредоносная программа, которая теперь поставляется в виде одного скомпрометированного исполняемого файла, содержащего вредоносный PNG-файл, продолжает бросать вызов системам обнаружения.
Indicators of Compromise
Domains
- drawzhotdog.shop
- fragnantbui.shop
- ghostreedmnu.shop
- gutterydhowi.shop
- offensivedzvju.shop
- reinforcenh.shop
- riderratttinow.shop
- stogeneratmns.shop
- vozmeatillu.shop
- winrar01.b-cdn.net
SHA256
- 57ebf79c384366162cb0f13de0de4fc1300ebb733584e2d8887505f22f877077
- b54d9db283e6c958697bfc4f97a5dd0ba585bc1d05267569264a2d700f0799ae
