Ghostpulse zərərli yükləyicisi PNG şəkillərində maskalanaraq yayılır
Ghostpulse zərərli proqram yükləyicisi artıq PNG şəkillərində məlumatları maskalayaraq yayılır və bu, kibertəhlükəsizlik mütəxəssisləri tərəfindən 2023-cü ildən bəri ən əhəmiyyətli yenilik kimi qiymətləndirilir.

Ghostpulse zərərli yükləyicisi PNG şəkillərində maskalanaraq yayılır
The Register-ə istinadən Mediahub.az xəbər verir ki:
Zərərli yükləyici Ghostpulse PNG şəkillərində maskalanır
Zərərli proqram yükləyicisi Ghostpulse artıq öz əsas zərərli komponentini çıxarmaq üçün PNG şəkillərinin piksellərindən istifadə edir. Təhlükəsizlik mütəxəssisləri bunu Ghostpulse-un 2023-cü ildə istifadəyə verilməsindən bəri kibercinayətkarlar tərəfindən tətbiq olunan "ən əhəmiyyətli dəyişikliklərdən biri" adlandırırlar.
Son Xəbərlər

Xiaomi 15 Ultra Qlobal Versiyası
Xiaomi yeni flaqman modeli Xiaomi 15 Ultra-nı qlobal satışa çıxaracağını təsdiqlədi. HyperOS 2.0 ilə yeni dövr başlayır!

Samsung-un Üçqatlanan Telefonu
Samsung, Galaxy Unpacked tədbirində üçqatlanan telefon konseptini təqdim etdi. Yeniliklər haqqında daha çox məlumat əldə edin.

Realme GT 7: Ən Ucuz Smartfon
Snapdragon 8 Elite çipi ilə Realme GT 7 fevral ayında təqdim ediləcək. Yeni xüsusiyyətlər və uyğun qiymət gözləyir.
Yeni maskalanma metodları və zərərli proqramın mürəkkəb strukturu
Ghostpulse əvvəllər kodunu PNG fayllarının IDAT hissəsində gizlədirdi, lakin indi o, zərərli məlumatları görüntü strukturuna inteqrasiya edərək, piksellərin qırmızı, yaşıl və mavi (RGB) kanallarından standart Windows API vasitəsilə GdiPlus (GDI+) kitabxanasından istifadə edərək dəyərləri çıxarır. Məlumatlar çıxarıldıqdan sonra zərərli proqram baytlar massivini qurur və Ghostpulse-un şifrələnmiş konfiqurasiyasını və onu açmaq üçün XOR açarını ehtiva edən strukturu axtarır.
Bu metod Ghostpulse-u ənənəvi zərərli fayl aşkarlama vasitələri üçün çətin tapılan edir, çünki o, məlumatlarını gizlətmək üçün görüntü detalları ilə maskalanır. Ghostpulse-un konfiqurasiyasını açmaq üçün baytlar massivini 16 baytlıq bloklarla skan edərək CRC32 hashına uyğunluğu yoxlayır və uyğunluq tapıldıqda, şifrələmənin daha da açılması üçün keçid, ölçü və 4 baytlıq XOR açarını çıxarır.
Sosial mühəndislik yayılma aləti kimi
Ghostpulse tez-tez istifadəçiləri kibercinayətkarların idarə etdiyi sayta yönləndirən və guya standart CAPTCHA-dan keçməyi tələb edən sosial mühəndislik metodları ilə müşayiət olunur. Lakin, istifadəçilərə şəkilləri seçmək əvəzinə müəyyən klaviatura kombinasiyalarını daxil etmək təklif olunur ki, bu da zərərli JavaScript-i mübadilə buferinə kopyalayır. Daha sonra PowerShell skripti işə salınır və Ghostpulse-un zərərli komponentini yükləyərək işə keçir.
Lumma zərərli proqramı ilə əlaqə
Ghostpulse həmçinin məlumat oğurluğu üçün nəzərdə tutulan Lumma adlı digər təhlükəli zərərli proqramla birlikdə fəaliyyət göstərir. Bu proqram kriptovalyuta cüzdanları, veb brauzerlər, poçt müştəriləri və iki faktorlu autentifikasiya genişlənmələrini hədəfləyir. Cyfirma şirkətinin ekspertləri Lumma-nı "proqram xidməti olaraq zərərli proqram" (malware-as-a-service) olaraq təsvir edirlər və o, 2022-ci ildən bəri mövcuddur.
Lumma populyar proqramların troyanlaşdırılmış yükləmələri vasitəsilə yayılır və Google-da sıfır gün zəifliklərindən istifadə edir, bu isə parol dəyişdirildikdən sonra belə hesabları ələ keçirməyə imkan verir. Lumma-ya çıxış qiymətləri baza versiyası üçün $250-dan tutmuş, ilkin mənbə kodu üçün $20 000-a qədər dəyişir.
Aktual müdafiə tədbirləri və YARA qaydaları
Elastic Security Labs-ın ekspertləri Ghostpulse-un daha tez aşkar edilməsi üçün yenilənmiş YARA qaydalarından istifadə etməyi tövsiyə edirlər. 2023-cü ildə buraxılmış əvvəlki versiya qaydaları infeksiyanın son mərhələsində effektiv olaraq qalır, lakin yeni qaydalar Ghostpulse-un daha erkən mərhələlərdə aşkar olunmasına kömək edir.
— "Ghostpulse zərərli proqram ailəsi 2023-cü ildə istifadəyə verildikdən bəri inkişaf etməyə davam edir və son yeniləmə ən əhəmiyyətli dəyişikliklərdən biridir," – deyə Elastic Security Labs-dan Salim Bitam bildirib. "Cinayətkarlar yeni metodlar hazırlamağa davam edir və müdafiəçilər effektiv riskləri azaltmaq üçün yenilənmiş vasitə və texnikalardan istifadə edərək uyğunlaşmalıdırlar."
Açar terminlər
- Ghostpulse — zərərli proqram yükləyicisi, məlumatlarını maskalamaq üçün PNG şəkillərindən istifadə edən zərərli proqram.
- Lumma — məlumat oğurluğu məqsədilə yaradılan və malware-as-a-service modeli ilə yayılmış zərərli proqram.
- PNG (Portable Network Graphics) — şəkil fayl formatı, zərərli proqramların məlumatları maskalamaq üçün istifadə etdiyi struktur.
- YARA qaydaları — zərərli proqramların aşkarlanması üçün istifadə olunan qaydalar dəsti, xüsusi olaraq Ghostpulse kimi zərərli proqramların analizi üçün nəzərdə tutulub.
Ən son xəbərlər və yeniliklər üçün Mediahub.az izləyin və fikirlərinizi bildirin!
Bu xəbəri necə dəyərləndirirsiniz?






