Elastic Security Labs a descoperit recent că malware-ul GHOSTPULSE se ascunde în structura pixelilor fișierelor PNG pentru a evita să fie detectat. Această tehnică inovatoare face dificilă descoperirea sa de către soluțiile tradiționale de securitate și subliniază cât de avansate pot deveni metodele de atac cibernetic.
GHOSTPULSE este o familie de malware care folosește tehnici avansate pentru a se ascunde și a evita detectarea. Prin ascunderea codului său în fișiere PNG, reușește să păcălească sistemele de securitate, consolidându-și astfel locul ca o amenințare cibernetică semnificativă.
TL;DR
- Malware-ul GHOSTPULSE se ascunde în fișiere PNG.
- Folosește o tehnică sofisticată pentru a păcăli sistemele de securitate.
- A fost descoperit de către Elastic Security Labs.
- Securitatea cibernetică trebuie să evolueze pentru a face față acestor amenințări avansate.
GHOSTPULSE și tehnicile sale de ascundere
GHOSTPULSE, cunoscut și sub denumirea de HIJACKLOADER sau IDATLOADER, a fost descoperit pentru prima dată în 2023. Inițial, și-a ascuns sarcinile malițioase în secțiunile IDAT ale fișierelor PNG, dar noua versiune duce această tehnică la un alt nivel, inserând „configurația” și „sarcina utilă” direct în pixeli. Utilizând valorile RGB ale fiecărui pixel prin bibliotecile de API-uri Windows GDI+, acesta poate să treacă nedetectat.
Malware-ul cu evoluție rapidă
De la descoperirea sa, GHOSTPULSE a evoluat semnificativ. În încercarea de a preveni detectarea, noile campanii îl distribuie acum ca un singur fișier executabil compromis, care include un fișier PNG în resursele sale, eliminând astfel necesitatea unui approach multi-fișier.
Răspunsul comunității de securitate cibernetică
Ca răspuns la această evoluție rapidă, cercetătorii de la Elastic Security Labs au îmbunătățit configuratorul lor de extracție pentru a susține ambele versiuni GHOSTPULSE existente. Acest instrument specializat analizează fișierele imagini PNG utilizate de malware pentru ascunderea și extragerea sarcinilor malițioase, oferind informații cruciale despre modurile de operare ale atacurilor.
Măsuri de prevenție
Pentru a vă proteja împotriva atacului GHOSTPULSE și a altor amenințări similare, specialiștii recomandă actualizarea soluțiilor de securitate pentru a detecta fișierele PNG potențial periculoase și utilizarea regulilor YARA. În plus, este esențial să participați la instruiri și seminarii web privind protecția împotriva amenințărilor avansate.
Analizând această amenințare modernă, devine clar că este necesară o adaptare continuă a abordărilor de securitate cibernetică pentru a combate metodele de atac tot mai inovatoare.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
