TTL OSINT

19.10.2024 170 2 мин.

Трюки и угощения: новый пиксельный обман от GHOSTPULSE

Вредоносная программа GHOSTPULSE была обновлена таким образом, чтобы внедрять вредоносные данные непосредственно в пиксельные структуры, что затрудняет их обнаружение. Этот новый подход предполагает анализ пикселей изображения для получения его конфигурации и полезной нагрузки, а не извлечение полезной нагрузки из блока IDAT, как в предыдущих версиях. Это изменение подробно описано в исследовательской публикации Elastic Security Labs, которая также включает обновленные правила обнаружения. Обновленная вредоносная программа GHOSTPULSE часто поставляется в виде отдельного взломанного исполняемого файла, который включает в себя файл PNG в разделе ресурсов. Вторая стадия вредоносной программы сохраняет большую часть своей прежней структуры, в том числе использует тот же алгоритм хэширования для определения имен Windows API. Однако наиболее существенное изменение заключается в том, как вредоносная программа теперь определяет местоположение своей конфигурации, которая содержит как полезную нагрузку, так и важные инструкции по ее развертыванию. Elastic Security обновила свой инструмент извлечения конфигурации для поддержки обеих версий GHOSTPULSE, а правила YARA были обновлены, чтобы идентифицировать это действие.

Ссылка:https://www.elastic.co/security-labs/tricks-and-treats

Примерные показатели работы Compromise:

• https://www.elastic.co/security-labs/tricks-and-treats
• www.elastic.co
• drawzhotdog.магазина
• vozmeatillu.shop
• наступательный вызов.shop

Источник: TTL OSINT