O vírus Ghostpulse começou a se espalhar massivamente – ele se disfarça como arquivos de instalação de aplicativos

O vírus de computador Ghostpulse começou a se espalhar na Internet, infectando sistemas que executam o Windows. Ele se disfarça como arquivos de instalação MSIX de programas conhecidos. Os especialistas do Elastic Security Labs relataram a campanha em grande escala.

Fonte da imagem: Pete Linforth / pixabay.com

«MSIX é um formato de pacote de aplicativos do Windows que os desenvolvedores podem usar para empacotar, distribuir e instalar seus aplicativos para usuários do Windows”, explicou o Elastic Security Labs. O software neste formato é muito fácil de instalar, muitas vezes com apenas um clique duplo, tornando o MSIX uma ferramenta adequada para cibercriminosos. Mas para implementar seus planos, os hackers precisam comprar ou roubar certificados de assinatura de código, o que indica que provavelmente possuem recursos sérios.

Fonte da imagem: elastic.co

Usando sites hackeados, técnicas de otimização de mecanismo de pesquisa (SEO) e publicidade online, os invasores tentam induzir as pessoas a baixar pacotes MSIX maliciosos e acionar sua instalação. Os pacotes são disfarçados como arquivos de instalação dos navegadores Chrome, Brave e Edge, da plataforma de aprendizagem de inglês Grammarly, do cliente de videoconferência Cisco Webex e de outros programas.

O processo de instalação parece normal: nenhum pop-up ou aviso é exibido na tela, mas um script do PowerShell é executado em segundo plano, por meio do qual o Ghostpulse é baixado para o computador, depois descriptografado e implantado. Elastic Security Labs preparou sua ferramenta de detecção de vírus. Os motivos dos invasores ainda não foram especificados, mas sabe-se que as cargas que os acompanham facilitam o acesso remoto, a capacidade de executar código arbitrário e o roubo de dados.