Se ha detectado una reciente campaña de ataques cibernéticos que utiliza archivos de paquetes de aplicaciones MSIX falsos en el entorno de Windows para distribuir un novedoso cargador de malware denominado GHOSTPULSE. Los archivos MSIX falsos se hacen pasar por paquetes de aplicaciones de software popular, como Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex.
Según los instaladores utilizados como señuelos, se sospecha que los posibles objetivos son atraídos para descargar los paquetes MSIX a través de técnicas conocidas, como sitios web comprometidos, manipulación de motores de búsqueda (SEO) o anuncios maliciosos.
Cuando se abre el archivo MSIX, se muestra una ventana de Windows que pide a los usuarios que hagan clic en el botón de instalación. Hacerlo resulta en la descarga sigilosa de GHOSTPULSE en el sistema comprometido desde un servidor remoto (en «manojsinghnegi[.]com») mediante un script de PowerShell.
Este proceso se lleva a cabo en múltiples etapas, siendo la primera carga útil un archivo TAR que contiene un ejecutable que se disfraza como el servicio Oracle VM VirtualBox (VBoxSVC.exe). Sin embargo, en realidad, se trata de un binario legítimo que se encuentra junto a Notepad++ (gup.exe).
Dentro del archivo TAR también se encuentran el archivo handoff.wav y una versión de libcurl.dll modificada para que sea dañina. Esta última se carga para llevar el proceso de infección a la siguiente etapa aprovechando la vulnerabilidad de gup.exe en la carga lateral de DLL.
Posteriormente, el archivo DLL manipulado procede a analizar handoff.wav, que, a su vez, contiene una carga útil cifrada. Esta carga se descifra y ejecuta a través de mshtml.dll, un método conocido como «module stomping», con el fin de cargar finalmente GHOSTPULSE.
GHOSTPULSE actúa como un cargador y utiliza otra técnica llamada «process doppelgänging» para iniciar la ejecución del malware final. Este malware incluye SectopRAT, Rhadamanthys, Vidar, Lumma y NetSupport RAT.