Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El troyano Gh0st RAT ataca a usuarios chinos de Windows a través de un sitio falso de Chrome
  • Tecnología

El troyano Gh0st RAT ataca a usuarios chinos de Windows a través de un sitio falso de Chrome

teknomers 29 de Temmuz de 2024 (Last updated: 29 de Temmuz de 2024) 4 minutes read
El troyano Gh0st RAT ataca a usuarios chinos de Windows


29 de julio de 2024Sala de prensaCiberseguridad / Ciberespionaje

Se ha observado que el troyano de acceso remoto conocido como Gh0st RAT es distribuido por un “dropper evasivo” llamado Gh0stGambit como parte de un esquema de descarga automática dirigido a usuarios de Windows de habla china.

Estas infecciones provienen de un sitio web falso (“chrome-web[.]com”) que distribuye paquetes de instalación maliciosos que se hacen pasar por el navegador Chrome de Google, lo que indica que los usuarios que buscan el software en la web están siendo seleccionados.

Gh0st RAT es un malware de larga data que se ha observado en circulación desde 2008 y que se manifiesta en forma de diferentes variantes a lo largo de los años en campañas orquestadas principalmente por grupos de ciberespionaje con vínculos con China.

Algunas iteraciones del troyano también se han implementado previamente infiltrándose en instancias de servidores MS SQL poco protegidos, utilizándolo como conducto para instalar el rootkit de código abierto Hidden.

La seguridad cibernética

Según la empresa de ciberseguridad eSentire, que descubierto La última actividad, la selección de usuarios de habla china, se basa en “el uso de señuelos web en idioma chino y aplicaciones chinas destinadas al robo de datos y la evasión de defensa por parte del malware”.

El instalador MSI descargado del sitio web falso contiene dos archivos, un ejecutable de instalación legítimo de Chrome y un instalador malicioso (“WindowsProgram.msi”), el último de los cuales se utiliza para iniciar el código shell responsable de cargar Gh0stGambit.

El cuentagotas, a su vez, verifica la presencia de software de seguridad (por ejemplo, 360 Safe Guard y Microsoft Defender Antivirus) antes de establecer contacto con un servidor de comando y control (C2) para recuperar Gh0st RAT.

“Gh0st RAT está escrito en C++ y tiene muchas características, incluyendo la terminación de procesos, eliminación de archivos, captura de audio y capturas de pantalla, ejecución remota de comandos, registro de teclas, exfiltración de datos, ocultamiento de registro, archivos y directorios a través de las capacidades del rootkit, y muchas más”, dijo eSentire.

También es capaz de eliminar Mimikatz, habilitar RDP en los hosts comprometidos, acceder a los identificadores de cuenta asociados con Tencent QQ, borrar los registros de eventos de Windows y borrar datos de 360 ​​Secure Browser, QQ Browser y Sogou Explorer.

La compañía canadiense dijo que el artefacto comparte superposiciones con una variante de Gh0st RAT rastreada por el Centro de Inteligencia de Seguridad AhnLab (ASEC) bajo el nombre de HiddenGh0st.

“Gh0st RAT ha sido ampliamente utilizado y modificado por APT y grupos criminales durante los últimos años”, dijo eSentire. “Los hallazgos recientes resaltan la distribución de esta amenaza a través de descargas automáticas, engañando a los usuarios para que descarguen un instalador malicioso de Chrome desde un sitio web engañoso”.

“El éxito continuo de las descargas automáticas refuerza la necesidad de contar con programas de formación y concientización sobre seguridad permanentes”.

El desarrollo se produce luego de que Symantec, propiedad de Broadcom, dijo que observó un aumento en las campañas de phishing que probablemente aprovechan los modelos de lenguaje grande (LLM) para generar código HTML y PowerShell malicioso utilizado para descargar varios cargadores y ladrones.

Los correos electrónicos contenían “código utilizado para descargar varias cargas útiles, incluyendo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot y Dunihi (H-Worm)”, dijeron los investigadores de seguridad Nguyen Hoang Giang y Yi Helen Zhang. dicho“El análisis de los scripts utilizados para distribuir malware en estos ataques sugiere que fueron generados mediante LLM”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: VfB: “Führich, Mittelstädt y Stiller no se mudarán a Barcelona ni a Leipzig”
Next: Adiós blanco absoluto y bienvenido blanco lechoso. Con un bonito toque dorado, posiblemente. Aqui esta ella "combos" de verano

Related Stories

Xiaomi 17T 256 Go a 649 € en vez de
  • Tecnología

Xiaomi 17T 256 Go a 649 € en vez de 699 € en Teknomers

teknomers 18 de Temmuz de 2026
¿El Wi-Fi del hotel no funciona con tu VPN? Cómo
  • Tecnología

¿El Wi-Fi del hotel no funciona con tu VPN? Cómo solucionar el problema

teknomers 18 de Temmuz de 2026
Android: un bug de la pantalla de bloqueo permitía a
  • Tecnología

Android: un bug de la pantalla de bloqueo permitía a Gemini enviar SMS sin PIN, Google corrige rápidamente

teknomers 18 de Temmuz de 2026

You May Have Missed

  • General

Frase del Día: En Tensos: Frase del Día: ‘En Tensos’ – ¿Qué significa esta expresión familiar? La expresión cotidiana que describe perfectamente la sensación de que algo está a punto de salir mal.

teknomers 18 de Temmuz de 2026
  • Deporte

Tour de France: cada vez más sólido, Paul Seixas podría convertirse en el 9º francés en llevar el maillot blanco a París.

teknomers 18 de Temmuz de 2026
  • Deporte

Kilmarnock 10 hombres deja todo para el final y vence a Elgin – Resumen de la Copa Premier Sports

teknomers 18 de Temmuz de 2026
Xiaomi 17T 256 Go a 649 € en vez de
  • Tecnología

Xiaomi 17T 256 Go a 649 € en vez de 699 € en Teknomers

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.