GHOSTPULSE 恶意软件

已检测到隐秘的网络攻击活动，涉及使用 Google Chrome、Microsoft Edge、Brave、Grammarly 和 Cisco Webex 等知名软件的虚假 MSIX Windows 应用程序包文件。这些不安全文件被用来传播一种名为 GHOSTPULSE 的新型恶意软件加载程序。

MSIX 是一种 Windows 应用程序包格式，开发人员可以使用它在 Windows 系统上打包、分发和安装其软件。但是，需要注意的是，创建和使用 MSIX 文件需要访问合法获取或非法获取的代码签名证书，这使得这种方法对资金充足且足智多谋的黑客团体特别有吸引力。

攻击者使用各种诱饵策略来传播 GHOSTPULSE 恶意软件

根据该计划中使用的诱饵安装程序，怀疑潜在受害者被误导使用众所周知的技术下载 MSIX 软件包，包括受损网站、搜索引擎优化 (SEO) 中毒或欺诈性广告（恶意广告）。

执行 MSIX 文件时，会出现 Windows 提示，敦促用户单击“安装”按钮。执行此操作后，GHOSTPULSE 会通过 PowerShell 脚本从远程服务器（特别是“manojsinghnegi[.]com”）静默下载到受感染的主机。

此过程跨多个阶段展开，初始有效负载是 TAR 存档文件。该存档包含一个伪装成 Oracle VM VirtualBox 服务 (VBoxSVC.exe) 的可执行文件，但实际上，它是与 Notepad++ (gup.exe) 捆绑在一起的合法二进制文件。

此外，在 TAR 存档中，还有一个名为 handoff.wav 的文件和木马版本的 libcurl.dll。通过 DLL 侧加载利用 gup.exe 中的漏洞，加载经过修改的 libcurl.dll，将感染过程推进到下一阶段。

GHOSTPULSE 恶意软件感染链涉及多种有害技术

PowerShell 脚本启动二进制文件 VBoxSVC.exe 的执行，该文件反过来通过从当前目录加载损坏的 DLL libcurl.dll 来进行 DLL 侧面加载。这种方法允许威胁行为者最大限度地减少磁盘上加密恶意代码的存在，使他们能够逃避基于文件的防病毒和机器学习扫描的检测。

接下来，操作的 DLL 文件将继续分析 handoff.wav。在此音频文件中，隐藏了加密的有效负载，随后通过 mshtml.dll 对其进行解码和执行。这种技术称为模块踩踏，用于最终启动 GHOSTPULSE。

GHOSTPULSE 充当加载程序，并采用另一种称为进程 doppelgänging 的技术来启动最后一组恶意软件的执行，其中包括SectopRAT 、 Rhadamanthys 、 Vidar 、 Lumma和NetSupport RAT 。

恶意软件攻击受害者的后果可能很严重

远程访问特洛伊木马 (RAT) 感染会给用户的设备带来多种可怕的后果，使其成为最危险的恶意软件类型之一。首先，RAT 向恶意行为者授予未经授权的访问和控制权，使他们能够秘密观察、操纵和窃取受感染设备的敏感信息。这包括访问个人文件、登录凭据、财务数据，甚至监视和记录击键的能力，使其成为身份盗窃和间谍活动的有力工具。这些活动可能会导致经济损失、隐私泄露以及个人和专业数据的泄露。

此外，RAT 感染可能会对用户隐私和安全产生毁灭性影响。与欺诈相关的行为者可以使用 RAT 打开网络摄像头和麦克风，有效地监视受害者家中的情况。这种对个人空间的入侵不仅侵犯隐私，还可能导致勒索或传播有害内容。此外，RAT 可用于将受感染的设备变成僵尸网络的一部分，从而发起大规模网络攻击、向其他系统分发恶意软件或代表攻击者进行犯罪活动。最终，RAT 感染会破坏对数字环境的信任，侵蚀个人安全，并可能对个人、企业甚至国家造成长期、严重的后果。