O trojan de acesso remoto conhecido como Gh0st RAT foi observado sendo distribuído por um “dropper evasivo” chamado Gh0stGambit como parte de um esquema de obtain drive-by visando usuários do Home windows que falam chinês.
Essas infecções vêm de um website falso (“chrome-web(.)com”) que veicula pacotes de instalação maliciosos disfarçados de navegador Chrome do Google, indicando que os usuários que procuram o software program na internet estão sendo selecionados.
O Gh0st RAT é um malware de longa knowledge que tem sido observado em atividade desde 2008, manifestando-se na forma de diferentes variantes ao longo dos anos em campanhas orquestradas principalmente por grupos de ciberespionagem com ligação à China.
Algumas iterações do trojan também foram implantadas anteriormente por meio da infiltração de instâncias mal protegidas do servidor MS SQL, usando-o como um canal para instalar o rootkit de código aberto oculto.
De acordo com a empresa de segurança cibernética eSentire, que descobriu a atividade mais recente, o direcionamento de usuários de língua chinesa é baseado no “uso de iscas da internet em língua chinesa e aplicativos chineses direcionados ao roubo de dados e evasão de defesa pelo malware”.
O instalador MSI baixado do website falso contém dois arquivos, um executável de configuração legítimo do Chrome e um instalador malicioso (“WindowsProgram.msi”), o último dos quais é usado para iniciar o shellcode responsável por carregar o Gh0stGambit.
O dropper, por sua vez, verifica a presença de software program de segurança (por exemplo, 360 Secure Guard e Microsoft Defender Antivirus) antes de estabelecer contato com um servidor de comando e controle (C2) para recuperar o Gh0st RAT.
“O Gh0st RAT é escrito em C++ e tem muitos recursos, incluindo encerramento de processos, remoção de arquivos, captura de áudio e capturas de tela, execução remota de comandos, keylogging, exfiltração de dados, ocultação de registros, arquivos e diretórios por meio de recursos de rootkit e muito mais”, disse a eSentire.
Ele também é capaz de remover o Mimikatz, habilitar o RDP em hosts comprometidos, acessar identificadores de conta associados ao Tencent QQ, limpar logs de eventos do Home windows e apagar dados do 360 Safe Browser, QQ Browser e Sogou Explorer.
A empresa canadense disse que o artefato compartilha sobreposições com uma variante Gh0st RAT rastreada pelo AhnLab Safety Intelligence Heart (ASEC) sob o apelido HiddenGh0st.
“Gh0st RAT tem visto uso e modificação generalizados por APT e grupos criminosos nos últimos anos”, disse eSentire. “As descobertas recentes destacam a distribuição dessa ameaça por meio de downloads drive-by, enganando os usuários para baixar um instalador malicioso do Chrome de um website enganoso.”
“O sucesso contínuo dos downloads drive-by reforça a necessidade de programas contínuos de treinamento e conscientização sobre segurança.”
O desenvolvimento ocorre no momento em que a Symantec, de propriedade da Broadcom, informou ter observado um aumento nas campanhas de phishing, provavelmente aproveitando Giant Language Fashions (LLMs) para gerar códigos maliciosos do PowerShell e HTML usados para baixar vários carregadores e ladrões.
Os e-mails continham “código usado para baixar vários payloads, incluindo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot e Dunihi (H-Worm)”, disseram os pesquisadores de segurança Nguyen Hoang Giang e Yi Helen Zhang. “A análise dos scripts usados para entregar malware nesses ataques sugere que eles foram gerados usando LLMs.”