El exploit parece estar ejecutando un instalador de aplicaciones legítimo, pero en su lugar descarga, descifra e inyecta malware de forma silenciosa.
Una nueva cepa de malware apodada Ghostpulse se dirige a sistemas Windows a través de un programa destinado a ayudar a distribuir aplicaciones legítimas.
Como explica Elastic Security Labs, los estafadores están utilizando paquetes de aplicaciones MSIX para introducir malware en los PC con Windows.
«MSIX es un formato de paquete de aplicaciones de Windows que los desarrolladores pueden aprovechar para empaquetar, distribuir e instalar sus aplicaciones a los usuarios de Windows», afirma Elastic Security Labs. Y se instalan fácilmente, a menudo con solo un doble clic, lo que «los convierte en un objetivo potencial para los adversarios que buscan comprometer a víctimas desprevenidas.»
Para conseguirlo, sin embargo, los hackers necesitarán comprar o robar certificados de firma de código, lo que significa que las estafas MSIX probablemente estén siendo orquestadas por «grupos con recursos superiores a la media».
Quienquiera que lo esté haciendo, está intentando que la gente «descargue paquetes MSIX maliciosos a través de sitios web comprometidos, técnicas de optimización de motores de búsqueda (SEO) o malvertising», según Elastic Security Labs, que ha visto a hackers probar instaladores falsos para Chrome, Brave, Edge, Grammarly y WebEx, entre otros.
La instalación parece normal para el usuario de PC. «No aparecen ventanas emergentes ni advertencias. Sin embargo, un script de PowerShell se utiliza de forma encubierta para descargar, descifrar y ejecutar Ghostpulse en el sistema».
Existen varios métodos para detectar Ghostpulse, que Elastic Security Labs describe en su página de GitHub. El equipo también ha creado una herramienta que detecta Ghostpulse por ti, que está en GitHub.
Como señala TechRadar, se desconoce el motivo, pero se sabe que las cargas útiles lanzadas por Ghostpulse facilitan el acceso remoto, la capacidad de ejecutar código arbitrario y la filtración de datos.