Невидимый вирус: GHOSTPULSE прячется в пикселях обычных картинок

Команда Elastic Security Labs выявила новую методику распространения вредоносного ПО GHOSTPULSE — загрузка данных через пиксели PNG-файла. Такой подход назван одним из самых значительных изменений в работе вредоносного ПО с момента его появления в 2023 году.

Ранее GHOSTPULSE (HIJACKLOADER, IDATLOADER) скрывало вредоносные данные в IDAT-блоках PNG-файлов. А новый алгоритм позволяет внедрять вредоносные данные непосредственно в структуру пикселей изображения, что усложняет обнаружение.

Новая версия уже активно используется в кибератаках, где применяются сложные тактики социальной инженерии. Примером являются кампании с использованием LUMMA STEALER, в которых пользователя вместо обычной CAPTCHA просят ввести комбинацию клавиш, которая приводит к запуску скрипта, загружающему и выполняющему полезную нагрузку GHOSTPULSE.

Ранее вредоносная программа распространялась в виде пакета из нескольких файлов, включающего исполняемый файл, заражённую DLL и PNG с зашифрованной конфигурацией. В обновлённой версии весь процесс упрощён: один исполняемый файл содержит PNG-изображение в разделе ресурсов.

В новой версии сохраняются многие прежние элементы, включая алгоритм хеширования API Windows. Ключевое изменение касается метода поиска конфигурации. Вместо IDAT-блока данные теперь извлекаются из RGB-значений пикселей. Программа создаёт массив байтов, проходя по каждому пикселю и извлекая значения цветов. Затем производится поиск 16-байтовых блоков, где первые 4 байта представляют хэш CRC32, а оставшиеся 12 — данные для проверки. Совпадение хэша позволяет найти конфигурацию и ключ XOR для расшифровки.

Современные версии GHOSTPULSE демонстрируют значительно более высокий уровень сложности по сравнению с предыдущими, когда вредоносное ПО распространялось через подозрительные исполняемые файлы с помощью SEO-поисковой оптимизации и рекламных кампаний.

Такие методы позволяют GHOSTPULSE обходить традиционные сканеры, ориентированные на файлы. В условиях активного распространения Lumma среди киберпреступников важно обновить средства защиты. Специалисты Elastic Security обновили YARA-правила и инструмент для извлечения конфигураций, чтобы выявлять и анализировать GHOSTPULSE.