轉載「Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！」訊息

 

Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！

Ghostpulse 惡意軟體現在透過 PNG 影像檔案的像素來提取其主要酬載。安全專家表示，這是自 2023 年推出以來，幕後黑手所做的「最重大改變之一」。

 PNG 圖片格式普遍用於網頁圖形，由於其為無損格式，能保留關鍵細節（例如平滑的文字輪廓），因此經常被選擇用於取代有損壓縮的 JPG 檔案。

Elastic Security Labs 的薩利姆·比塔姆（Salim Bitam）指出，Ghostpulse 常被用於攻擊活動中，作為更危險惡意軟體（如 Lumma 資訊竊取器）的載入器，而最新的變化使其更難以被偵測。

早期版本的 Ghostpulse 也很難偵測，並使用諸如將酬載隱藏在 PNG 檔案的 IDAT 區塊等隱密方法。然而，它現在會解析圖片的像素，將惡意資料嵌入其結構中。

「該惡意軟體透過使用 GdiPlus(GDI+) 函式庫中的標準 Windows API，依序提取每個像素的紅、綠、藍 (RGB) 值來建構一個位元組陣列，」比塔姆表示。「一旦位元組陣列建立完成，惡意軟體就會搜尋包含加密 Ghostpulse 設定的結構起點，包括解密所需的 XOR 金鑰。」

 「它透過以 16 位元組區塊迴圈讀取位元組陣列來做到這一點。對於每個區塊，前四個位元組代表 CRC32 雜湊值，而接下來的 12 個位元組是要進行雜湊的資料。惡意軟體會計算 12 個位元組的 CRC32，並檢查它是否與雜湊值相符。如果找到相符的項目，它就會提取加密 Ghostpulse 設定的偏移量、其大小和四位元組 XOR 金鑰，然後進行 XOR 解密。」

【資安新聞-電腦王】

Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！

詳細資訊請參考：https://www.techbang.com/posts/119061-ghostpulse-png