GHOSTPULSE 惡意軟體透過虛假 MSIX 應用程式傳播

最近偵測到一次網路攻擊活動，利用 Google Chrome、Microsoft Edge、Brave、Grammarly 和 Cisco Webex 等知名軟體的虛假 MSIX Windows 應用程式套件檔案作為傳播名為 GHOSTPULSE 的新惡意軟體載入程式的手段。

正如 Elastic Security Labs 研究員 Joe Desimone 在最近的一份技術報告中所解釋的那樣，MSIX 是一種 Windows 應用程式包格式，開發人員可以使用它在 Windows 系統上捆綁、分發和安裝其應用程式。不過，值得注意的是，MSIX 依賴對合法或被盜程式碼簽署憑證的訪問，這使其成為擁有大量資源的組織的有吸引力的目標。

根據用作誘餌的欺騙性軟體安裝程序，懷疑潛在受害者被誘騙透過各種方法下載這些 MSIX 軟體包，包括受損網站、搜尋引擎優化 (SEO) 操縱或惡意廣告。

感染方式

啟動 MSIX 檔案後，Windows 對話方塊會提示使用者點選「安裝」按鈕。這樣做會觸發透過 PowerShell 腳本從位於「manojsinghnegi[.]com」的遠端伺服器秘密地將 GHOSTPULSE 下載到受感染的系統上。

此程序分多個階段展開，初始有效負載是包含可執行檔的 TAR 存檔檔。這個可執行檔偽裝成 Oracle VM VirtualBox 服務 (VBoxSVC.exe)，但實際上它是與 Notepad++ (gup.exe) 捆綁在一起的合法二進位檔案。

在 TAR 檔案中，還有一個名為 handoff.wav 的檔案和 libcurl.dll 的竄改版本。透過利用 gup.exe 的 DLL 側載入漏洞，載入該 DLL 檔案以將感染過程推進到下一階段。

被操縱的 DLL 檔案隨後會檢查 handoff.wav，而 handoff.wav 又會隱藏加密的有效負載，該有效負載透過 mshtml.dll 進行解碼和執行，這是一種稱為模組踩踏的技術。此操作導致 GHOSTPULSE 的最終載入。

GHOSTPULSE 充當載入程序，並採用另一種稱為進程複製的方法來啟動最終惡意軟體的執行，其中包括 SectopRAT、Rhadamanthys、Vidar、Lumma 和 NetSupport RAT。