Trojanac za daljinski pristup poznat kao Gh0st RAT je primijećen kako ga isporučuje “izbjegavajući dropper” nazvan Gh0stGambit kao dio šeme preuzimanja koja je namijenjena korisnicima Windows-a koji govore kineski.
Ove infekcije potiču od lažne web stranice („chrome-web[.]com“) koja servira zlonamjerne instalacione pakete maskirane kao Googleov Chrome pretraživač, što ukazuje da su korisnici koji pretražuju softver na webu izdvojeni.
Gh0st RAT je dugogodišnji zlonamjerni softver koji je u divljini opažen od 2008., manifestirajući se u obliku različitih varijanti tokom godina u kampanjama koje su prvenstveno orkestrirale cyber špijunske grupe.
Neke iteracije trojanca su takođe prethodno bile primenjene infiltriranjem na loše obezbjeđene instance MS SQL servera, koristeći ga kao kanal za instaliranje skrivenog otvorenog koda rootkita.
Prema firmi za cyber sigurnost eSentire, koja je otkrila najnoviju aktivnost, ciljanje korisnika koji govore kineski se zasniva na “korišćenju web mamaca na kineskom jeziku i kineskih aplikacija koje su ciljane za krađu podataka i izbjegavanje odbrane od strane zlonamjernog softvera.”
MSI instalacijski program preuzet sa lažne web stranice sadrži dvije datoteke, legitimni izvršni program za postavljanje Chromea i zlonamjerni instalacioni program (“WindowsProgram.msi”), od kojih se potonji koristi za pokretanje shellcode-a koji je odgovoran za učitavanje Gh0stGambita.
Kapalica, zauzvrat, provjerava prisutnost sigurnosnog softvera (npr. 360 Safe Guard i Microsoft Defender Antivirus) prije uspostavljanja kontakta sa serverom za komandu i kontrolu (C2) kako bi povratio Gh0st RAT.
“Gh0st RAT je napisan na C++ i ima mnogo funkcija, uključujući prekid procesa, uklanjanje datoteka, snimanje zvuka i snimaka ekrana, daljinsko izvršavanje naredbi, keylogging, eksfiltraciju podataka, skrivanje registra, datoteka i direktorija putem mogućnosti rootkit-a i još mnogo toga,” rekao je eSentire.
Takođe je sposoban da izbaci Mimikatz, omogući RDP na kompromitovanim hostovima, pristupi identifikatorima naloga koji su povezani sa Tencent QQ, da izbriše evidencije Windows događaja i izbriše podatke iz 360 Secure Browser, QQ pretraživača i Sogou Explorera.
Kanadska kompanija je saopštila da se dionice artefakta preklapaju s varijantom Gh0st RAT koju prati AhnLab Security Intelligence Center (ASEC) pod imenom HiddenGh0st.
“Gh0st RAT je doživio široku upotrebu i modifikacije od strane APT-a i kriminalnih grupa u proteklih nekoliko godina”, rekao je eSentire. “Nedavni nalazi ističu distribuciju ove prijetnje putem preuzimanja putem vožnje, obmanjujući korisnike da preuzmu zlonamjerni program za instalaciju Chrome-a sa obmanjujuće web stranice.”
„Nastavak uspjeha preuzimanja u pogonu pojačava potrebu za kontinuiranom obukom o sigurnosti i programima podizanja svijesti.”
Razvoj dolazi nakon što je Symantec u vlasništvu Broadcom-a rekao da je primijetio porast phishing kampanja koje vjerovatno koriste velike jezičke modele (LLM) za generiranje zlonamjernog PowerShell-a i HTML koda koji se koristi za preuzimanje nekoliko učitavača i alata za krađu.
E-poruke su sadržavale “kod koji se koristi za preuzimanje raznih korisnih podataka, uključujući Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot i Dunihi (H-Worm)”, rekli su istraživači sigurnosti Nguyen Hoang Giang i Yi Helen Zhang . “Analiza skripti korištenih za isporuku zlonamjernog softvera u ovim napadima sugerira da su generirane korištenjem LLM-a.”
Izvor:The Hacker News