Recentemente, de acordo com a empresa de segurança cibernética eSentire, um notório Trojan de acesso remoto (Gh0st RAT) está sendo usado para atingir usuários de língua chinesa por meio de um novo dropper chamado Gh0stGambit. A campanha foi lançada usando um site falso chamado “chrome-web”.[.]com” para distribuir arquivos de instalação maliciosos do MSI disfarçados de instaladores do navegador Google Chrome.
■ Como o malware é distribuído
– Site falso do Chrome: engana os usuários que tentam baixar o Google Chrome para que baixem arquivos de instalação MSI, incluindo arquivos de instalação legítimos do Chrome e o arquivo de instalação malicioso “WindowsProgram.msi”.
-Evite o Dropper: O conta-gotas Gh0stGambit verifica softwares de segurança como 360 Safeguard e Microsoft Defender, depois se conecta ao servidor C2 e distribui o Gh0st RAT.
■ Função Gh0st RAT
-Escrito em C++: Inclui recursos como operações de eliminação, exclusão de arquivos, captura de áudio e captura de tela, execução remota de comandos, registro de teclado e roubo de dados.
– Recursos avançados: descarte o Mimikatsu para roubar credenciais, ativar o Remote Desktop Protocol (RDP), acessar a conta Tencent QQ, limpar o log de eventos e até mesmo dados do 360 Secure Browser, Secure Browser, QQ Browser, etc. Ele pode ser excluído.
O Gh0st RAT nesta campanha tem sido usado há muito tempo por grupos de espionagem cibernética ligados à China desde que apareceu pela primeira vez em 2008. Variantes do Gh0st RAT, como HiddenGh0st, também têm sido usadas em ataques complexos, como infiltração de servidores MS SQL vulneráveis e instalação rootkits.
Para evitar danos causados por malwares como o Gh0st RAT, é muito importante que os usuários sempre baixem softwares de sites oficiais ou de fontes confiáveis, e o treinamento de segurança interna nas empresas também é importante.
▷ E-mail: mkgil@dailysecu.com
▷ Detalhes do relatório: Estamos ansiosos para relatar quaisquer problemas de segurança!
▷ Consulta de publicidade: jywoo@dailysecu.com
★Dailysecu, principal mídia de segurança da Coreia!★
Copyright © Daily Sico A reprodução e redistribuição são proibidas.
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”