O trojan de acesso remoto conhecido como Gh0st RAT foi observado sendo distribuído por um “dropper evasivo” chamado Gh0stGambit como parte de um esquema de download drive-by visando usuários do Windows que falam chinês.
Essas infecções vêm de um site falso (“chrome-web[.]com”) que veicula pacotes de instalação maliciosos disfarçados de navegador Chrome do Google, indicando que os usuários que procuram o software na web estão sendo selecionados.
Gh0st RAT
O Gh0st RAT é um malware de longa data que tem sido observado em atividade desde 2008, manifestando-se na forma de diferentes variantes ao longo dos anos em campanhas orquestradas principalmente por grupos de ciberespionagem com ligação à China.
Algumas iterações do trojan também foram implantadas anteriormente por meio da infiltração de instâncias mal protegidas do servidor MS SQL, usando-o como um canal para instalar o rootkit de código aberto oculto.
De acordo com a empresa de segurança cibernética eSentire, que descobriu a atividade mais recente, o direcionamento de usuários de língua chinesa é baseado no “uso de iscas da web em língua chinesa e aplicativos chineses direcionados ao roubo de dados e evasão de defesa pelo malware”.
O instalador MSI baixado do site falso contém dois arquivos, um executável de configuração legítimo do Chrome e um instalador malicioso (“WindowsProgram.msi”), o último dos quais é usado para iniciar o shellcode responsável por carregar o Gh0stGambit.
O dropper, por sua vez, verifica a presença de software de segurança (por exemplo, 360 Safe Guard e Microsoft Defender Antivirus) antes de estabelecer contato com um servidor de comando e controle (C2) para recuperar o Gh0st RAT.
“O Gh0st RAT é escrito em C++ e tem muitos recursos, incluindo encerramento de processos, remoção de arquivos, captura de áudio e capturas de tela, execução remota de comandos, keylogging, exfiltração de dados, ocultação de registros, arquivos e diretórios por meio de recursos de rootkit e muito mais”, disse a eSentire.
Ele também é capaz de remover o Mimikatz, habilitar o RDP em hosts comprometidos, acessar identificadores de conta associados ao Tencent QQ, limpar logs de eventos do Windows e apagar dados do 360 Secure Browser, QQ Browser e Sogou Explorer.
A empresa canadense disse que o artefato compartilha sobreposições com uma variante Gh0st RAT rastreada pelo AhnLab Security Intelligence Center (ASEC) sob o apelido HiddenGh0st .
“Gh0st RAT tem visto uso e modificação generalizados por APT e grupos criminosos nos últimos anos”, disse eSentire. “As descobertas recentes destacam a distribuição dessa ameaça por meio de downloads drive-by, enganando os usuários para baixar um instalador malicioso do Chrome de um site enganoso.”
“O sucesso contínuo dos downloads drive-by reforça a necessidade de programas contínuos de treinamento e conscientização sobre segurança.”
O desenvolvimento ocorre no momento em que a Symantec, de propriedade da Broadcom, informou ter observado um aumento nas campanhas de phishing, provavelmente aproveitando Large Language Models (LLMs) para gerar códigos maliciosos do PowerShell e HTML usados para baixar vários carregadores e ladrões.
Os e-mails continham “código usado para baixar vários payloads, incluindo Rhadamanthys , NetSupport RAT , CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot e Dunihi (H-Worm)”, disseram os pesquisadores de segurança Nguyen Hoang Giang e Yi Helen Zhang . “A análise dos scripts usados para entregar malware nesses ataques sugere que eles foram gerados usando LLMs.”
Fontes: The Hacker News
1 thought on “Trojan Gh0st RAT tem como alvo usuários chineses do Windows por meio de site falso do Chrome”
Comments are closed.