GHOSTPULSE 恶意软件通过虚假 MSIX 应用程序传播

最近检测到一次网络攻击活动，利用 Google Chrome、Microsoft Edge、Brave、Grammarly 和 Cisco Webex 等知名软件的虚假 MSIX Windows 应用程序包文件作为传播名为 GHOSTPULSE 的新恶意软件加载程序的手段。

正如 Elastic Security Labs 研究员 Joe Desimone 在最近的一份技术报告中所解释的那样，MSIX 是一种 Windows 应用程序包格式，开发人员可以使用它在 Windows 系统上捆绑、分发和安装其应用程序。不过，值得注意的是，MSIX 依赖于对合法或被盗代码签名证书的访问，这使其成为拥有大量资源的组织的有吸引力的目标。

根据用作诱饵的欺骗性软件安装程序，怀疑潜在受害者被诱骗通过各种方法下载这些 MSIX 软件包，包括受损网站、搜索引擎优化 (SEO) 操纵或恶意广告。

感染方式

启动 MSIX 文件后，Windows 对话框会提示用户单击“安装”按钮。这样做会触发通过 PowerShell 脚本从位于“manojsinghnegi[.]com”的远程服务器秘密地将 GHOSTPULSE 下载到受感染的系统上。

此过程分多个阶段展开，初始有效负载是包含可执行文件的 TAR 存档文件。该可执行文件伪装成 Oracle VM VirtualBox 服务 (VBoxSVC.exe)，但实际上它是与 Notepad++ (gup.exe) 捆绑在一起的合法二进制文件。

在 TAR 存档中，还有一个名为 handoff.wav 的文件和 libcurl.dll 的篡改版本。通过利用 gup.exe 的 DLL 侧加载漏洞，加载该 DLL 文件以将感染过程推进到下一阶段。

被操纵的 DLL 文件随后会检查 handoff.wav，而 handoff.wav 又会隐藏加密的有效负载，该有效负载通过 mshtml.dll 进行解码和执行，这是一种称为模块踩踏的技术。此操作导致 GHOSTPULSE 的最终加载。

GHOSTPULSE 充当加载程序，并采用另一种称为进程复制的方法来启动最终恶意软件的执行，其中包括 SectopRAT、Rhadamanthys、Vidar、Lumma 和 NetSupport RAT。