# GHOSTPULSE > Tipo: **loader** · [Elastic Security Research](https://www.elastic.co/security-labs/) ## Descrição [[ghostpulse|GHOSTPULSE]] é um loader sofisticado descoberto pela Elastic Security Labs em outubro de 2023, notável por uma técnica inovadora de ocultação de payload: o malware esconde dados maliciosos nos metadados IDAT (Image Data) de imagens PNG legítimas, tornando a detecção por análise de arquivo extremamente difícil. Esta técnica de esteganografia em arquivos de imagem representa uma evolução significativa nas capacidades de evasão de loaders modernos. O [[ghostpulse|GHOSTPULSE]] foi identificado distribuindo payloads como Lumma Stealer, Vidar, Raccoon Stealer, XWorm e outros infostealers populares. O [[ghostpulse|GHOSTPULSE]] é distribuído principalmente através de pesquisas Google envenenadas (SEO poisoning) e campanhas de malvertising, onde usuários que buscam software popular (Chrome, Firefox, Notion, etc.) são direcionados a sites fraudulentos que oferecem instaladores comprometidos. A cadeia de infecção utiliza MSIX ou outros formatos de instalador para bypass de controles de segurança, seguido de carregamento de um arquivo de imagem PNG aparentemente legítimo que contém o payload criptografado nos metadados IDAT. O loader extrai, descriptografa e injeta o payload final na memória de um processo legítimo do sistema. A abordagem do [[ghostpulse|GHOSTPULSE]] de usar imagens como veículo de entrega de payload é um contornamento eficaz de soluções de segurança que inspecionam extensões de arquivo e assinaturas de conteúdo - imagens PNG raramente são escaneadas tão profundamente quanto executáveis. Esta técnica, combinada com a distribuição via SEO poisoning, torna o GHOSTPULSE um vetor de infecção relevante para usuários corporativos e domésticos que instalam software comum. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Detecção > [!tip] Indicadores de Detecção > - Implementar controles de Safe Search e filtragem web para bloquear sites de SEO poisoning > - Detectar uso de formatos MSIX para instalação de software não-gerenciado (bloquear em ambientes corporativos) > - Monitorar processos que carregam e processam arquivos PNG fora de aplicações de imagem esperadas > - Alertar sobre injeção de processo em aplicativos legítimos logo após execução de instaladores > - Implementar solução de segurança de e-mail e web que análise conteúdo de imagens em busca de dados ocultos ## Relevância LATAM/Brasil O [[ghostpulse|GHOSTPULSE]] é especialmente relevante para o Brasil por sua distribuição via SEO poisoning de software popular - um vetor eficaz em um país com alta base de usuários de Windows e cultura de download de software de sites alternativos. Organizações brasileiras sem políticas rígidas de software autorizado (application whitelisting) são vulneráveis a este tipo de distribuição. Os payloads distribuídos pelo GHOSTPULSE (Lumma Stealer, Vidar) têm presença confirmada no Brasil e são utilizados para roubo de credenciais bancárias e de sistemas corporativos. ## Referências - [Elastic Security Labs - GHOSTPULSE Analysis](https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks)