GHOSTPULSE 惡意軟體

已偵測到隱密的網路攻擊活動，涉及使用 Google Chrome、Microsoft Edge、Brave、Grammarly 和 Cisco Webex 等知名軟體的虛假 MSIX Windows 應用程式套件檔案。這些不安全檔案被用來傳播一種名為 GHOSTPULSE 的新型惡意軟體載入程式。

MSIX 是一種 Windows 應用程式套件格式，開發人員可以使用它在 Windows 系統上打包、分發和安裝其軟體。但是，需要注意的是，建立和使用 MSIX 檔案需要存取合法取得或非法取得的程式碼簽署證書，這使得這種方法對資金充足且足智多謀的駭客團體特別有吸引力。

攻擊者使用各種誘餌策略來傳播 GHOSTPULSE 惡意軟體

根據該計劃中使用的誘餌安裝程序，懷疑潛在受害者被誤導使用眾所周知的技術下載 MSIX 軟體包，包括受損網站、搜尋引擎優化 (SEO) 中毒或欺詐性廣告（惡意廣告）。

執行 MSIX 檔案時，會出現 Windows 提示，敦促使用者按一下「安裝」按鈕。執行此操作後，GHOSTPULSE 會透過 PowerShell 腳本從遠端伺服器（特別是「manojsinghnegi[.]com」）靜默下載到受感染的主機。

此過程跨多個階段展開，初始有效負載是 TAR 存檔檔案。該檔案包含一個偽裝成 Oracle VM VirtualBox 服務 (VBoxSVC.exe) 的可執行文件，但實際上，它是與 Notepad++ (gup.exe) 捆綁在一起的合法二進位檔案。

此外，在 TAR 檔案中，還有一個名為 handoff.wav 的檔案和木馬版本的 libcurl.dll。透過 DLL 側面加載，利用 gup.exe 中的漏洞，載入經過修改的 libcurl.dll，將感染過程推進到下一階段。

GHOSTPULSE 惡意軟體感染鏈涉及多種有害技術

PowerShell 腳本啟動二進位檔案 VBoxSVC.exe 的執行，該檔案反過來透過從目前目錄載入損壞的 DLL libcurl.dll 來進行 DLL 側邊載入。這種方法允許威脅行為者最大限度地減少磁碟上加密惡意程式碼的存在，使他們能夠逃避基於檔案的防毒和機器學習掃描的偵測。

接下來，操作的 DLL 檔案將繼續分析 handoff.wav。在此音訊檔案中，隱藏了加密的有效負載，隨後透過 mshtml.dll 進行解碼和執行。這種技術稱為模組踩踏，用於最終啟動 GHOSTPULSE。

GHOSTPULSE 充當載入程序，並採用另一種稱為進程 doppelgänging 的技術來啟動最後一組惡意軟體的執行，其中包括SectopRAT 、 Rhadamanthys 、 Vidar 、 Lumma和NetSupport RAT 。

惡意軟體攻擊受害者的後果可能很嚴重

遠端存取特洛伊木馬 (RAT) 感染會為使用者的裝置帶來多種可怕的後果，使其成為最危險的惡意軟體類型之一。首先，RAT 向惡意行為者授予未經授權的存取和控制權，使他們能夠秘密觀察、操縱和竊取受感染設備的敏感資訊。這包括存取個人文件、登入憑證、財務數據，甚至監視和記錄擊鍵的能力，使其成為身分盜竊和間諜活動的有力工具。這些活動可能會導致經濟損失、隱私洩露以及個人和專業資料的洩露。

此外，RAT 感染可能會對使用者隱私和安全產生毀滅性影響。與詐騙相關的行為者可以使用 RAT 打開網路攝影機和麥克風，有效監視受害者家中的情況。這種對個人空間的入侵不僅侵犯隱私，還可能導致勒索或傳播有害內容。此外，RAT 可用於將受感染的裝置轉變為殭屍網路的一部分，從而發動大規模網路攻擊、向其他系統分發惡意軟體或代表攻擊者進行犯罪活動。最終，RAT 感染會破壞對數位環境的信任，侵蝕個人安全，並可能對個人、企業甚至國家造成長期、嚴重的後果。