【安全资讯】GHOSTPULSE进化：恶意软件现隐藏于图像像素中，规避检测

概要：

最近，Elastic Security Labs揭示了GHOSTPULSE恶意软件家族的重大进化，显示其通过将有效载荷隐藏在图像像素结构中来规避检测。这一新技术使得网络安全专业人员的检测和提取工作变得更加困难，突显了网络安全领域面临的挑战。

主要内容：

GHOSTPULSE，亦称为HIJACKLOADER或IDATLOADER，最近的版本采用了一种像素级的欺骗技术，取代了之前依赖PNG文件IDAT块的方式。根据Elastic Security Labs的报告，这种恶意软件通过提取每个像素的红、绿、蓝（RGB）值，构建字节数组，从而将恶意数据直接嵌入像素值中，避免了依赖文件结构或头部分析的检测机制。

新版本的GHOSTPULSE不仅具备先进的隐藏技术，还采用了更简化的交付方式。与早期版本依赖多个文件包不同，最新版本使用一个包含大型PNG文件的单一可执行文件，这个PNG文件中包含了加密配置和有效载荷，消除了对单独文件的需求。

此外，GHOSTPULSE的攻击活动通常结合社会工程学策略，诱使用户执行恶意软件。例如，受害者可能被引导完成虚假的CAPTCHA，而实际上这些操作会触发恶意的PowerShell脚本，启动GHOSTPULSE感染。为了应对这一不断演变的威胁，Elastic Security Labs更新了检测机制，新的YARA规则将用于检测这种像素级隐藏技术，帮助网络防御者保持领先。