新型GHOSTPULSE恶意软件攻击针对Windows系统

关键要点

• 一个新的攻击活动利用虚假的MSIX Windows应用程序包来传播GHOSTPULSE恶意软件加载器。
• 攻击者使用了恶意广告、搜索引擎优化技巧及被攻陷的网站来诱导用户下载恶意MSIX文件。
• 下载后，该文件会触发一个PowerShell脚本，经过多重步骤安装恶意软件。
• GHOSTPULSE能够执行多种恶意软件，如NetSupport RAT、Vidar等。

Windows系统目前正受到一场新的攻击活动的威胁，攻击者利用虚假的MSIXWindows应用程序包，针对广泛使用的软件来传播GHOSTPULSE恶意软件加载器。根据的报道，攻击者可能已经通过恶意广告、搜索引擎优化以及被侵入的网站，诱使目标下载这些恶意的MSIX文件。当用户打开这些文件时，会出现一个点击“安装”按钮的提示，从而启动一个下载GHOSTPULSE的PowerShell脚本，这是一个多步骤的过程。

最初下载的是一个TAR归档文件，其中包含一个伪装成Oracle VMVirtualBox服务的可执行文件，这个文件会旁路用户的防病毒软件和机器学习扫描系统，进而加载一个被篡改的libcurl.dll文件，最后解析hand_off.wav文件，最终加载GHOSTPULSE。随后，GHOSTPULSE会进行进程双重复制，以便执行NetSupportRAT、Vidar、Lumma、Rhadamanthys、SectopRAT等其它恶意软件，作为最终的恶意代码。

警告 ：用户应提高警惕，确保从可信任的来源下载软件，并定期更新防病毒软件以保护系统安全。

风险类型 | 描述
—|—
恶意软件传播 | 利用虚假的应用程序包传播GHOSTPULSE
用户诱骗策略 | 通过恶意广告和SEO诱导用户下载
多阶段攻击 | 通过PowerShell和旁路技术下载恶意软件

对抗此类攻击的关键在于用户的警觉性和适当的网络安全措施。通过不断学习和提高自身的网络安全知识，用户可以更好地防范此类威胁。