Содержание |
Хроника
2024: Появился компьютерный вирус, который прячется в изображении png
В середине октября 2024 года появились предупреждения о том, что вирус Ghostpulse, теперь способен передаваться через изображения PNG. Этот формат широко используется для веб-графики, и ему часто отдают предпочтение перед JPG, поскольку PNG позволяет сжимать изображение без потерь, к примеру, сохраняя плавные контуры текста.
Ghostpulse часто используется хакерами в качестве загрузчика для более опасных типов вредоносного ПО, таких как инфостилер Lumma. Последние модификации вируса еще больше затрудняют его обнаружение. Если ранее вирус скрывался в фрагменте IDAT файла PNG, то теперь его внедряют непосредственно в структуру пикселей.
Вредоносная программа создает массив информации, последовательно извлекая значения RGB каждого пикселя с помощью стандартного ПО. Затем вирус находит зашифрованную конфигурацию Ghostpulse и активирует ключ XOR. Хотя Ghostpulse — далеко не первый штамм вредоносного ПО, скрывающий свои вредоносные файлы в пиксельных изображениях, этот вирус представляет особую опасность, поскольку злоумышленники успешно обманывают жертв, подсовывая зараженные изображения под видом стандартной проверки CAPTCHA. Жертвам предлагается ввести определенные сочетания клавиш, которые копируют вредоносный JavaScript в буфер обмена пользователя. Оттуда запускается скрипт PowerShell, который загружает и активирует вирус Ghostpulse.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Жертвами одной из атак с использованием этого метода стали пользователи GitHub, которым разослали поддельные электронные письма с просьбой исправить несуществующую уязвимость безопасности. При таком подходе, как сообщают эксперты, вредоносная программа успешно обходит простые методы сканирования файлов, и антивирусные программы требуют срочного обновления.[1]