Se ha observado que el troyano de acceso remoto conocido como Gh0st RAT es distribuido por un «dropper evasivo» llamado Gh0stGambit como parte de un esquema de descarga automática dirigido a usuarios de Windows de habla china.
Estas infecciones provienen de un sitio web falso («chrome-web[.]com») que distribuye paquetes de instalación maliciosos que se hacen pasar por el navegador Chrome de Google, lo que indica que los usuarios que buscan el software en la web están siendo seleccionados.
Gh0st RAT es un malware de larga data que se ha observado en circulación desde 2008 y que se manifiesta en forma de diferentes variantes a lo largo de los años en campañas orquestadas principalmente por grupos de ciberespionaje con vínculos con China.
Algunas iteraciones del troyano también se han implementado previamente infiltrándose en instancias de servidores MS SQL poco protegidos, utilizándolo como conducto para instalar el rootkit de código abierto Hidden.
Según la empresa de ciberseguridad eSentire, que descubierto La última actividad, la selección de usuarios de habla china, se basa en «el uso de señuelos web en idioma chino y aplicaciones chinas destinadas al robo de datos y la evasión de defensa por parte del malware».
El instalador MSI descargado del sitio web falso contiene dos archivos, un ejecutable de instalación legítimo de Chrome y un instalador malicioso («WindowsProgram.msi»), el último de los cuales se utiliza para iniciar el código shell responsable de cargar Gh0stGambit.
El cuentagotas, a su vez, verifica la presencia de software de seguridad (por ejemplo, 360 Safe Guard y Microsoft Defender Antivirus) antes de establecer contacto con un servidor de comando y control (C2) para recuperar Gh0st RAT.
«Gh0st RAT está escrito en C++ y tiene muchas características, incluyendo la terminación de procesos, eliminación de archivos, captura de audio y capturas de pantalla, ejecución remota de comandos, registro de teclas, exfiltración de datos, ocultamiento de registro, archivos y directorios a través de las capacidades del rootkit, y muchas más», dijo eSentire.
También es capaz de eliminar Mimikatz, habilitar RDP en los hosts comprometidos, acceder a los identificadores de cuenta asociados con Tencent QQ, borrar los registros de eventos de Windows y borrar datos de 360 Secure Browser, QQ Browser y Sogou Explorer.
La compañía canadiense dijo que el artefacto comparte superposiciones con una variante de Gh0st RAT rastreada por el Centro de Inteligencia de Seguridad AhnLab (ASEC) bajo el nombre de HiddenGh0st.
«Gh0st RAT ha sido ampliamente utilizado y modificado por APT y grupos criminales durante los últimos años», dijo eSentire. «Los hallazgos recientes resaltan la distribución de esta amenaza a través de descargas automáticas, engañando a los usuarios para que descarguen un instalador malicioso de Chrome desde un sitio web engañoso».
«El éxito continuo de las descargas automáticas refuerza la necesidad de contar con programas de formación y concientización sobre seguridad permanentes».
El desarrollo se produce luego de que Symantec, propiedad de Broadcom, dijo que observó un aumento en las campañas de phishing que probablemente aprovechan los modelos de lenguaje grande (LLM) para generar código HTML y PowerShell malicioso utilizado para descargar varios cargadores y ladrones.
Los correos electrónicos contenían «código utilizado para descargar varias cargas útiles, incluyendo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot y Dunihi (H-Worm)», dijeron los investigadores de seguridad Nguyen Hoang Giang y Yi Helen Zhang. dicho«El análisis de los scripts utilizados para distribuir malware en estos ataques sugiere que fueron generados mediante LLM».