Лаборатория Elastic Security Labs обнаружила кампанию по компрометации пользователей с помощью подписанных пакетов приложений MSIX для получения начального доступа. В кампании используется скрытый загрузчик, названный GHOSTPULSE, который расшифровывает и внедряет конечную полезную нагрузку, чтобы избежать обнаружения.
С точки зрения пользователя, кнопка "Установить" работает как положено. Никаких всплывающих окон или предупреждений не появляется. Однако для загрузки, расшифровки и выполнения GHOSTPULSE в системе скрытно используется сценарий PowerShell.
Indicators of Compromise
IPv4
- 78.24.180.93
Domains
- manojsinghnegi.com
URLs
- manojsinghnegi.com/2.tar.gpg
SHA256
- 0c01324555494c35c6bbd8babd09527bfc49a2599946f3540bb3380d7bec7a20
- 4283563324c083f243cf9335662ecc9f1ae102d619302c79095240f969d9d356
- 49e6a11453786ef9e396a9b84aeb8632f395477abc38f1862e44427982e8c7a9
- eb2addefd7538cbd6c8eb42b70cafe82ff2a8210e885537cd94d410937681c61
- ee4c788dd4a173241b60d4830db128206dcfb68e79c68796627c6d6355c1d1b8
