2024-01-24 10:30:37

MSIX是一种相对较新的统一打包格式，开发人员可以利用它来跨平台创建安全且高性能的应用程序。

据ElasticSecurityLabs的专家称，有人一直在分发冒充流行软件平台的MSIX文件，例如GoogleChrome、MicrosoftEdge、Brave、Grammarly和CiscoWebex。分发渠道尚未得到证实，但研究人员认为这是受感染网站、SEO中毒、恶意广告、社交媒体和网络钓鱼的常见组合。

为您推荐的视频...

落入并执行该文件的用户将看到带有“安装”按钮的提示。按下该按钮会将GHOSTPULSE恶意软件加载程序投放到其端点上。

ElasticSecurityLabs研究员JoeDesimone解释说：“MSIX需要访问购买或窃取的代码签名证书，使其适用于高于平均水平的资源组。”

该公司的端点安全解决方案ElasticDefend通过以下行为保护规则来检测此威胁：

对可疑顶级域的DNS查询

加载由签名二进制代理写入的文件

未签名DLL中的可疑API调用

可疑内存写入远程进程

从修改的NTDLL中创建进程

YARA规则“Windows.Trojan.GhostPulse”还将检测磁盘上的GHOSTPULSE加载程序。

目前还没有关于受到GHOSTPULSE攻击的公司数量或该活动背后的威胁者是谁的信息。我们也不知道他们的最终游戏是什么，但考虑到最后阶段分发的恶意软件类型，可以安全地假设这是一个出于经济动机的组织，或者是初始访问经纪人(IAB)。

IAB通常会破坏网络，然后将其获得的访问权限出售给其他威胁行为者，例如勒索软件组织。