2024/10/23 10:25:39

Ghostpulse (компьютерный вирус)

.

Содержание

Хроника

2024: Появился компьютерный вирус, который прячется в изображении png

В середине октября 2024 года появились предупреждения о том, что вирус Ghostpulse, теперь способен передаваться через изображения PNG. Этот формат широко используется для веб-графики, и ему часто отдают предпочтение перед JPG, поскольку PNG позволяет сжимать изображение без потерь, к примеру, сохраняя плавные контуры текста.

Ghostpulse часто используется хакерами в качестве загрузчика для более опасных типов вредоносного ПО, таких как инфостилер Lumma. Последние модификации вируса еще больше затрудняют его обнаружение. Если ранее вирус скрывался в фрагменте IDAT файла PNG, то теперь его внедряют непосредственно в структуру пикселей.

Обнаружен компьютерный вирус, маскирующийся под изображение формата png

Вредоносная программа создает массив информации, последовательно извлекая значения RGB каждого пикселя с помощью стандартного ПО. Затем вирус находит зашифрованную конфигурацию Ghostpulse и активирует ключ XOR. Хотя Ghostpulse — далеко не первый штамм вредоносного ПО, скрывающий свои вредоносные файлы в пиксельных изображениях, этот вирус представляет особую опасность, поскольку злоумышленники успешно обманывают жертв, подсовывая зараженные изображения под видом стандартной проверки CAPTCHA. Жертвам предлагается ввести определенные сочетания клавиш, которые копируют вредоносный JavaScript в буфер обмена пользователя. Оттуда запускается скрипт PowerShell, который загружает и активирует вирус Ghostpulse.

Жертвами одной из атак с использованием этого метода стали пользователи GitHub, которым разослали поддельные электронные письма с просьбой исправить несуществующую уязвимость безопасности. При таком подходе, как сообщают эксперты, вредоносная программа успешно обходит простые методы сканирования файлов, и антивирусные программы требуют срочного обновления.[1]

Примечания