Ghostpulse
Az Elastic Security Labs megfigyelt egy kampányt, amelynek célja, hogy aláírt MSIX alkalmazáscsomagokkal kompromittálja a felhasználókat a kezdeti hozzáférés érdekében. A kampány egy lopakodó betöltőt használ, amelyet Ghostpulse-nak neveztek el, és amely dekódolja és beadja a végső hasznos terhelést, hogy elkerülje az észlelést.
Egy gyakori támadási forgatókönyvben azt gyanítják az Elastic kutatói, hogy a felhasználókat rosszindulatú MSIX-csomagok letöltésére irányítják feltört webhelyeken, keresőoptimalizálási (SEO) technikákon vagy rosszindulatú hirdetéseken keresztül. Az általunk megfigyelt maszkírozó témák közé tartoznak a Chrome, a Brave, az Edge, a Grammarly és a WebEx telepítői, hogy kiemeljünk néhányat.