Ghostpulse 恶意软件加载程序完美隐藏在 PNG 图像文件中

Ghostpulse 恶意软件通过 PNG 图像文件的像素检索其主要有效载荷。安全专家表示，这一发展是自 2023 年推出以来，幕后黑手做出的“最重大的改变之一”。

PNG 图像文件格式广泛用于网页图形，并且通常比有损压缩 JPG 文件更受欢迎，因为它是一种无损格式，保留了平滑的文本轮廓等关键细节。

Elastic Security Labs 的 Salim Bitam 指出，Ghostpulse 经常在活动中被用作更危险类型的恶意软件（例如Lumma 信息窃取程序）的加载器，而最新的变化使其更难以检测。

Ghostpulse 的早期版本也难以检测，并使用了一些狡猾的方法，例如将有效载荷隐藏在 PNG 文件的 IDAT 块中。当前版本会解析图像的像素，将恶意数据嵌入结构中。

Bitam 表示：“该恶意软件使用 GdiPlus(GDI+) 库中的标准 Windows API 依次提取每个像素的红、绿、蓝 (RGB) 值，从而构建一个字节数组。一旦构建了字节数组，该恶意软件就会搜索包含加密 Ghostpulse 配置的结构的开头，其中包括解密所需的 XOR 密钥。

“它通过循环遍历 16 字节块中的字节数组来实现这一点。对于每个块，前四个字节代表 CRC32 哈希，接下来的 12 个字节是要进行哈希处理的数据。恶意软件计算 12 个字节的 CRC32 并检查它是否与哈希匹配。如果找到匹配项，它会提取加密 Ghostpulse 配置的偏移量、其大小和四字节 XOR 密钥，然后对其进行 XOR 解密。”

Ghostpulse 并非第一个将恶意文件隐藏在图像内的恶意软件。然而，这一发现表明其幕后黑手一贯狡猾。

该技术与最初用于下载文件的社会工程技术相辅相成。Bitam 表示，受害者被诱骗访问攻击者控制的网站并验证看似常规的CAPTCHA。

然而，受害者无需勾选复选框或一系列与提示相匹配的图像，而是被要求输入特定的键盘快捷键，将恶意JavaScript复制到用户的剪贴板。然后，运行 PowerShell 脚本，下载并执行 Ghostpulse 负载。

McAfee 最近发现，Lumma 也使用了同样的方法，但并未提及 Ghostpulse 的参与。其研究人员指出，GitHub 用户受到了专门针对性的攻击，他们通过电子邮件要求用户修复不存在的安全漏洞。

这里的复杂程度远远高于 Ghostpulse 背后的网络犯罪分子在早期版本中所展示的水平，当时他们依靠受害者在 SEO 中毒或恶意广告攻击后下载可疑的可执行文件。

利用这些技术，恶意软件可以很好地逃避简单的基于文件的恶意软件扫描方法，而且考虑到 Lumma 在网络犯罪分子中的普及程度，确保防御系统已准备好阻止它是个好主意。

Cyfirma 的专家将 Lumma描述为一种“强大”且“复杂”的恶意软件即服务产品，自 2022 年以来就已存在。它针对各种数据，包括敏感类型和来源，例如加密货币钱包、网络浏览器、电子邮件客户端和双因素身份验证浏览器扩展。

据 Darktrace 称，只需 250 美元即可购买 Lumma 的使用权，而源代码的价格则可能高达 20,000 美元。

它通常通过流行软件的木马下载进行传播，在其更新噩梦发生几天后，无数利用它的活动就冒充了从 ChatGPT 到CrowdStrike的各种组织。

Darktrace表示：“正如网络威胁领域中信息窃取者的普遍出现和崛起一样，Lumma 窃取者继续对组织和个人构成重大威胁。”

Reg 的读者可能还记得，Lumma 还被指控为利用 Google 0day漏洞的信息窃取者之一，即使在密码更改后仍能保持对受感染账户的访问。

Bitam 表示，如果您实施了 Elastic 去年发布的 YARA 规则，这些规则仍然足以保护您的组织免受恶意软件的最终感染阶段的侵害，它最近发布了一些更新的规则，以便更快地发现 Ghostpulse。

Bitam 表示：“总而言之，Ghostpulse 恶意软件家族自 2023 年发布以来一直在不断发展，最近的这次更新标志着最重大的变化之一。随着攻击者不断创新，防御者必须适应，利用更新的工具和技术来有效缓解这些威胁。”

技术报告：

《诡计与款待：GHOSTPULSE 的全新像素级欺骗》

https://www.elastic.co/security-labs/tricks-and-treats

新闻链接：

https://www.theregister.com/2024/10/22/ghostpulse_malware_loader_png/

讲述普通人能听懂的安全故事