O malware Gh0st RAT ataca os usuários disfarçando-se de um falso instalador do Chrome

Recentemente, de acordo com a empresa de segurança cibernética eSentire, um notório Trojan de acesso remoto (Gh0st RAT) está sendo usado para atingir usuários de língua chinesa por meio de um novo dropper chamado Gh0stGambit. A campanha foi lançada usando um site falso chamado “chrome-web”.[.]com” para distribuir arquivos de instalação maliciosos do MSI disfarçados de instaladores do navegador Google Chrome.

■ Como o malware é distribuído
– Site falso do Chrome: engana os usuários que tentam baixar o Google Chrome para que baixem arquivos de instalação MSI, incluindo arquivos de instalação legítimos do Chrome e o arquivo de instalação malicioso “WindowsProgram.msi”.
-Evite o Dropper: O conta-gotas Gh0stGambit verifica softwares de segurança como 360 Safeguard e Microsoft Defender, depois se conecta ao servidor C2 e distribui o Gh0st RAT.

■ Função Gh0st RAT
-Escrito em C++: Inclui recursos como operações de eliminação, exclusão de arquivos, captura de áudio e captura de tela, execução remota de comandos, registro de teclado e roubo de dados.
– Recursos avançados: descarte o Mimikatsu para roubar credenciais, ativar o Remote Desktop Protocol (RDP), acessar a conta Tencent QQ, limpar o log de eventos e até mesmo dados do 360 Secure Browser, Secure Browser, QQ Browser, etc. Ele pode ser excluído.

O Gh0st RAT nesta campanha tem sido usado há muito tempo por grupos de espionagem cibernética ligados à China desde que apareceu pela primeira vez em 2008. Variantes do Gh0st RAT, como HiddenGh0st, também têm sido usadas em ataques complexos, como infiltração de servidores MS SQL vulneráveis ​​e instalação rootkits.

Para evitar danos causados ​​por malwares como o Gh0st RAT, é muito importante que os usuários sempre baixem softwares de sites oficiais ou de fontes confiáveis, e o treinamento de segurança interna nas empresas também é importante.

Copyright © Daily Sico A reprodução e redistribuição são proibidas.