Ghostpulse zərərli yükləyicisi PNG şəkillərində maskalanaraq yayılır

The Register-ə istinadən Mediahub.az xəbər verir ki:

Zərərli yükləyici Ghostpulse PNG şəkillərində maskalanır

Zərərli proqram yükləyicisi Ghostpulse artıq öz əsas zərərli komponentini çıxarmaq üçün PNG şəkillərinin piksellərindən istifadə edir. Təhlükəsizlik mütəxəssisləri bunu Ghostpulse-un 2023-cü ildə istifadəyə verilməsindən bəri kibercinayətkarlar tərəfindən tətbiq olunan "ən əhəmiyyətli dəyişikliklərdən biri" adlandırırlar.

Maraqlı Xəbərlər

2025-ci il üçün Böyük Qazanc vəd edən 4 Kriptovalyuta

2025-ci ilə böyük gəlir vəd edən kriptovalyutalar: Solana (SOL), Polygon (MATIC), Fantom (FTM) və BlockDAG (BDAG). Onların unikal üstünlüklərini araşdırın.

Daha ətraflı

Sahibkarların Üzləşdiyi 5 Əsas Qorxu və Onları Necə Dəf Etmək Olar?

Sahibkarlıq yolunda 5 əsas qorxu ilə necə mübarizə aparmaq olar? Uğura gedən yolda maneələri fürsətə çevirmək üçün effektiv strategiyalar Mediahub.az-da.

Daha ətraflı

Samsung Təqdim Edir: Galaxy M16 5G və F16 5G Ucuz Model Telefonları

Samsung, MediaTek Dimensity 6300 seriyalı çiplərlə təchiz olunmuş Galaxy M16 5G və F16 5G telefonlarını təqdim edəcək. Hər iki model 50 MP əsas kamera və 5000 mAh batareya ilə gələcək.

Daha ətraflı

Yeni maskalanma metodları və zərərli proqramın mürəkkəb strukturu

Ghostpulse əvvəllər kodunu PNG fayllarının IDAT hissəsində gizlədirdi, lakin indi o, zərərli məlumatları görüntü strukturuna inteqrasiya edərək, piksellərin qırmızı, yaşıl və mavi (RGB) kanallarından standart Windows API vasitəsilə GdiPlus (GDI+) kitabxanasından istifadə edərək dəyərləri çıxarır. Məlumatlar çıxarıldıqdan sonra zərərli proqram baytlar massivini qurur və Ghostpulse-un şifrələnmiş konfiqurasiyasını və onu açmaq üçün XOR açarını ehtiva edən strukturu axtarır.

Bu metod Ghostpulse-u ənənəvi zərərli fayl aşkarlama vasitələri üçün çətin tapılan edir, çünki o, məlumatlarını gizlətmək üçün görüntü detalları ilə maskalanır. Ghostpulse-un konfiqurasiyasını açmaq üçün baytlar massivini 16 baytlıq bloklarla skan edərək CRC32 hashına uyğunluğu yoxlayır və uyğunluq tapıldıqda, şifrələmənin daha da açılması üçün keçid, ölçü və 4 baytlıq XOR açarını çıxarır.

Sosial mühəndislik yayılma aləti kimi

Ghostpulse tez-tez istifadəçiləri kibercinayətkarların idarə etdiyi sayta yönləndirən və guya standart CAPTCHA-dan keçməyi tələb edən sosial mühəndislik metodları ilə müşayiət olunur. Lakin, istifadəçilərə şəkilləri seçmək əvəzinə müəyyən klaviatura kombinasiyalarını daxil etmək təklif olunur ki, bu da zərərli JavaScript-i mübadilə buferinə kopyalayır. Daha sonra PowerShell skripti işə salınır və Ghostpulse-un zərərli komponentini yükləyərək işə keçir.

Lumma zərərli proqramı ilə əlaqə

Ghostpulse həmçinin məlumat oğurluğu üçün nəzərdə tutulan Lumma adlı digər təhlükəli zərərli proqramla birlikdə fəaliyyət göstərir. Bu proqram kriptovalyuta cüzdanları, veb brauzerlər, poçt müştəriləri və iki faktorlu autentifikasiya genişlənmələrini hədəfləyir. Cyfirma şirkətinin ekspertləri Lumma-nı "proqram xidməti olaraq zərərli proqram" (malware-as-a-service) olaraq təsvir edirlər və o, 2022-ci ildən bəri mövcuddur.

Lumma populyar proqramların troyanlaşdırılmış yükləmələri vasitəsilə yayılır və Google-da sıfır gün zəifliklərindən istifadə edir, bu isə parol dəyişdirildikdən sonra belə hesabları ələ keçirməyə imkan verir. Lumma-ya çıxış qiymətləri baza versiyası üçün $250-dan tutmuş, ilkin mənbə kodu üçün $20 000-a qədər dəyişir.

Aktual müdafiə tədbirləri və YARA qaydaları

Elastic Security Labs-ın ekspertləri Ghostpulse-un daha tez aşkar edilməsi üçün yenilənmiş YARA qaydalarından istifadə etməyi tövsiyə edirlər. 2023-cü ildə buraxılmış əvvəlki versiya qaydaları infeksiyanın son mərhələsində effektiv olaraq qalır, lakin yeni qaydalar Ghostpulse-un daha erkən mərhələlərdə aşkar olunmasına kömək edir.

— "Ghostpulse zərərli proqram ailəsi 2023-cü ildə istifadəyə verildikdən bəri inkişaf etməyə davam edir və son yeniləmə ən əhəmiyyətli dəyişikliklərdən biridir," – deyə Elastic Security Labs-dan Salim Bitam bildirib. "Cinayətkarlar yeni metodlar hazırlamağa davam edir və müdafiəçilər effektiv riskləri azaltmaq üçün yenilənmiş vasitə və texnikalardan istifadə edərək uyğunlaşmalıdırlar."

Açar terminlər

• Ghostpulse — zərərli proqram yükləyicisi, məlumatlarını maskalamaq üçün PNG şəkillərindən istifadə edən zərərli proqram.
• Lumma — məlumat oğurluğu məqsədilə yaradılan və malware-as-a-service modeli ilə yayılmış zərərli proqram.
• PNG (Portable Network Graphics) — şəkil fayl formatı, zərərli proqramların məlumatları maskalamaq üçün istifadə etdiyi struktur.
• YARA qaydaları — zərərli proqramların aşkarlanması üçün istifadə olunan qaydalar dəsti, xüsusi olaraq Ghostpulse kimi zərərli proqramların analizi üçün nəzərdə tutulub.

Ən son xəbərlər və yeniliklər üçün Mediahub.az izləyin və fikirlərinizi bildirin!