详细内容或原文请订阅后点击阅览
像素完美的 Ghostpulse 恶意软件加载程序隐藏在 PNG 图像文件中
不法之徒将其与同样棘手的社会工程相结合 Ghostpulse 恶意软件现在通过 PNG 图像文件的像素检索其主要有效载荷。安全专家表示,这一发展是自 2023 年推出以来,其背后的骗子所做的“最重大的改变之一”。
来源:The Register _恶意软件Ghostpulse恶意软件应变现在通过PNG图像文件的像素来检索其主要有效载荷。安全专家说,这一发展是自2023年推出以来的“骗子最重大的变化之一”。
图像文件格式通常用于Web图形,并且通常被选为有损压缩JPG文件,因为它是一种无损格式,并且保留了关键细节,例如流畅的文本大纲。
Elastic Security Labs的Salim Bitam指出,Ghostpulse经常在广告系列中用作更危险的恶意软件(例如Lumma InfoStealer)的装载机,最新的更改使其更难检测到它。
lumma infostealer先前版本的Ghostpulse也很难检测并使用偷偷摸摸的方法,例如隐藏有效载荷在PNG文件的IDAT块中。但是,它现在解析了图像的像素,将恶意数据嵌入结构中。
“恶意软件通过使用GDiplus(GDI+)库中的标准Windows API顺序提取每个像素的红色,绿色和蓝色(RGB)值来构建字节数组。” “一旦构建字节数组,恶意软件就会搜索包含加密的ghostpulse配置的结构的开始,包括解密所需的XOR密钥。
“它通过在16个字节块中循环循环循环。对于每个块,前四个字节代表CRC32哈希,接下来的12个字节是要进行哈希的数据。恶意软件计算出12个字节的CRC32,并检查了匹配匹配的范围。如果匹配匹配范围。四字节XOR键,然后Xor解密。”
Ghostpulse远非第一个将其恶意文件隐藏在像素中的恶意软件。但是,这一发现表明了背后的人一贯的狡猾。
将其恶意文件隐藏在像素中 CAPTCHA JavaScript 注明 描述 CrowdStrike 说 reg 保持对折衷帐户的访问