Le cheval de Troie d’accès à distance connu sous le nom de Gh0st RAT a été observé en train d’être diffusé par un « dropper évasif » appelé Gh0stGambit dans le cadre d’un système de téléchargement furtif ciblant les utilisateurs Windows parlant chinois.
Ces infections proviennent d’un faux site Web (« chrome-web[.]com ») qui diffuse des packages d’installation malveillants se faisant passer pour le navigateur Chrome de Google, ce qui indique que les utilisateurs qui recherchent le logiciel sur le Web sont ciblés.
Gh0st RAT est un malware de longue date observé dans la nature depuis 2008, se manifestant sous la forme de différentes variantes au fil des ans dans des campagnes principalement orchestrées par des groupes de cyberespionnage liés à la Chine.
Certaines itérations du cheval de Troie ont également été déployées précédemment en infiltrant des instances de serveur MS SQL mal sécurisées, l’utilisant comme conduit pour installer le rootkit open source Hidden.
Selon la société de cybersécurité eSentire, qui découvert La dernière activité, le ciblage des utilisateurs parlant chinois, est basée sur « l’utilisation de leurres Web en langue chinoise et d’applications chinoises ciblées pour le vol de données et l’évasion de la défense par les logiciels malveillants ».
Le programme d’installation MSI téléchargé à partir du faux site Web contient deux fichiers, un exécutable d’installation Chrome légitime et un programme d’installation malveillant (« WindowsProgram.msi »), ce dernier étant utilisé pour lancer le shellcode responsable du chargement de Gh0stGambit.
Le dropper vérifie à son tour la présence d’un logiciel de sécurité (par exemple, 360 Safe Guard et Microsoft Defender Antivirus) avant d’établir le contact avec un serveur de commande et de contrôle (C2) afin de récupérer Gh0st RAT.
« Gh0st RAT est écrit en C++ et possède de nombreuses fonctionnalités, notamment la terminaison des processus, la suppression de fichiers, la capture audio et de captures d’écran, l’exécution de commandes à distance, l’enregistrement des frappes, l’exfiltration de données, le masquage du registre, des fichiers et des répertoires via les capacités du rootkit, et bien d’autres encore », a déclaré eSentire.
Il est également capable de supprimer Mimikatz, d’activer RDP sur les hôtes compromis, d’accéder aux identifiants de compte associés à Tencent QQ, d’effacer les journaux d’événements Windows et d’effacer les données de 360 Secure Browser, QQ Browser et Sogou Explorer.
La société canadienne a déclaré que les parts d’artefacts se chevauchent avec une variante de Gh0st RAT suivie par l’AhnLab Security Intelligence Center (ASEC) sous le surnom de HiddenGh0st.
« Gh0st RAT a été largement utilisé et modifié par des groupes APT et criminels au cours des dernières années », a déclaré eSentire. « Les récentes découvertes mettent en évidence la diffusion de cette menace via des téléchargements furtifs, incitant les utilisateurs à télécharger un programme d’installation Chrome malveillant à partir d’un site Web trompeur. »
« Le succès continu des téléchargements intempestifs renforce la nécessité de programmes continus de formation et de sensibilisation à la sécurité. »
Cette évolution intervient alors que Symantec, propriété de Broadcom, a déclaré avoir observé une augmentation des campagnes de phishing exploitant probablement des modèles de langage volumineux (LLM) pour générer du code PowerShell et HTML malveillant utilisé pour télécharger plusieurs chargeurs et voleurs.
Les e-mails contenaient « du code utilisé pour télécharger diverses charges utiles, notamment Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot et Dunihi (H-Worm) », ont déclaré les chercheurs en sécurité Nguyen Hoang Giang et Yi Helen Zhang. dit« L’analyse des scripts utilisés pour diffuser les programmes malveillants lors de ces attaques suggère qu’ils ont été générés à l’aide de LLM. »