{"id":1295612,"date":"2024-07-29T06:27:13","date_gmt":"2024-07-29T06:27:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-troyano-gh0st-rat-ataca-a-usuarios-chinos-de-windows-a-traves-de-un-sitio-falso-de-chrome\/"},"modified":"2024-07-29T06:27:18","modified_gmt":"2024-07-29T06:27:18","slug":"el-troyano-gh0st-rat-ataca-a-usuarios-chinos-de-windows-a-traves-de-un-sitio-falso-de-chrome","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-troyano-gh0st-rat-ataca-a-usuarios-chinos-de-windows-a-traves-de-un-sitio-falso-de-chrome\/","title":{"rendered":"El troyano Gh0st RAT ataca a usuarios chinos de Windows a trav\u00e9s de un sitio falso de Chrome"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Ciberseguridad \/ Ciberespionaje<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-troyano-Gh0st-RAT-ataca-a-usuarios-chinos-de-Windows.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que el troyano de acceso remoto conocido como Gh0st RAT es distribuido por un &#8220;dropper evasivo&#8221; llamado Gh0stGambit como parte de un esquema de descarga autom\u00e1tica dirigido a usuarios de Windows de habla china.<\/p>\n<p>Estas infecciones provienen de un sitio web falso (&#8220;chrome-web[.]com&#8221;) que distribuye paquetes de instalaci\u00f3n maliciosos que se hacen pasar por el navegador Chrome de Google, lo que indica que los usuarios que buscan el software en la web est\u00e1n siendo seleccionados.<\/p>\n<p>Gh0st RAT es un malware de larga data que se ha observado en circulaci\u00f3n desde 2008 y que se manifiesta en forma de diferentes variantes a lo largo de los a\u00f1os en campa\u00f1as orquestadas principalmente por grupos de ciberespionaje con v\u00ednculos con China.<\/p>\n<p>Algunas iteraciones del troyano tambi\u00e9n se han implementado previamente infiltr\u00e1ndose en instancias de servidores MS SQL poco protegidos, utiliz\u00e1ndolo como conducto para instalar el rootkit de c\u00f3digo abierto Hidden.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Seg\u00fan la empresa de ciberseguridad eSentire, que <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/a-dropper-for-deploying-gh0st-rat\" target=\"_blank\">descubierto<\/a> La \u00faltima actividad, la selecci\u00f3n de usuarios de habla china, se basa en &#8220;el uso de se\u00f1uelos web en idioma chino y aplicaciones chinas destinadas al robo de datos y la evasi\u00f3n de defensa por parte del malware&#8221;.<\/p>\n<p>El instalador MSI descargado del sitio web falso contiene dos archivos, un ejecutable de instalaci\u00f3n leg\u00edtimo de Chrome y un instalador malicioso (&#8220;WindowsProgram.msi&#8221;), el \u00faltimo de los cuales se utiliza para iniciar el c\u00f3digo shell responsable de cargar Gh0stGambit.<\/p>\n<p>El cuentagotas, a su vez, verifica la presencia de software de seguridad (por ejemplo, 360 Safe Guard y Microsoft Defender Antivirus) antes de establecer contacto con un servidor de comando y control (C2) para recuperar Gh0st RAT.<\/p>\n<p>&#8220;Gh0st RAT est\u00e1 escrito en C++ y tiene muchas caracter\u00edsticas, incluyendo la terminaci\u00f3n de procesos, eliminaci\u00f3n de archivos, captura de audio y capturas de pantalla, ejecuci\u00f3n remota de comandos, registro de teclas, exfiltraci\u00f3n de datos, ocultamiento de registro, archivos y directorios a trav\u00e9s de las capacidades del rootkit, y muchas m\u00e1s&#8221;, dijo eSentire.<\/p>\n<p>Tambi\u00e9n es capaz de eliminar Mimikatz, habilitar RDP en los hosts comprometidos, acceder a los identificadores de cuenta asociados con Tencent QQ, borrar los registros de eventos de Windows y borrar datos de 360 \u200b\u200bSecure Browser, QQ Browser y Sogou Explorer.<\/p>\n<p>La compa\u00f1\u00eda canadiense dijo que el artefacto comparte superposiciones con una variante de Gh0st RAT rastreada por el Centro de Inteligencia de Seguridad AhnLab (ASEC) bajo el nombre de HiddenGh0st.<\/p>\n<p>&#8220;Gh0st RAT ha sido ampliamente utilizado y modificado por APT y grupos criminales durante los \u00faltimos a\u00f1os&#8221;, dijo eSentire. &#8220;Los hallazgos recientes resaltan la distribuci\u00f3n de esta amenaza a trav\u00e9s de descargas autom\u00e1ticas, enga\u00f1ando a los usuarios para que descarguen un instalador malicioso de Chrome desde un sitio web enga\u00f1oso&#8221;.<\/p>\n<p>&#8220;El \u00e9xito continuo de las descargas autom\u00e1ticas refuerza la necesidad de contar con programas de formaci\u00f3n y concientizaci\u00f3n sobre seguridad permanentes&#8221;.<\/p>\n<p>El desarrollo se produce luego de que Symantec, propiedad de Broadcom, dijo que observ\u00f3 un aumento en las campa\u00f1as de phishing que probablemente aprovechan los modelos de lenguaje grande (LLM) para generar c\u00f3digo HTML y PowerShell malicioso utilizado para descargar varios cargadores y ladrones.<\/p>\n<p>Los correos electr\u00f3nicos conten\u00edan &#8220;c\u00f3digo utilizado para descargar varias cargas \u00fatiles, incluyendo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot y Dunihi (H-Worm)&#8221;, dijeron los investigadores de seguridad Nguyen Hoang Giang y Yi Helen Zhang. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/malware-ai-llm\" target=\"_blank\">dicho<\/a>&#8220;El an\u00e1lisis de los scripts utilizados para distribuir malware en estos ataques sugiere que fueron generados mediante LLM&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/gh0st-rat-trojan-targets-chinese.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de julio de 2024\ue804Sala de prensaCiberseguridad \/ Ciberespionaje Se ha observado que el troyano de acceso remoto<\/p>\n","protected":false},"author":1,"featured_media":1295613,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,4289,35379,4664,21838,4662,206241,4668,4667,239182,4654,239508,4658,4659,4653,63637,4666,4665,2348,116,8665,7528,239484,20385],"class_list":["post-1295612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-chinos","tag-chrome","tag-como-hackear","tag-falso","tag-filtracion-de-datos","tag-gh0st","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-rat","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sitio","tag-traves","tag-troyano","tag-usuarios","tag-vulnerabilidad-del-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1295612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1295612"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1295612\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1295613"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1295612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1295612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1295612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}