Το trojan απομακρυσμένης πρόσβασης γνωστό ως Gh0st RAT έχει παρατηρηθεί να διανέμεται μέσω μιας μεθόδου “διαφυγής dropper” που ονομάζεται Gh0stGambit, στο πλαίσιο ενός προγράμματος λήψης που στοχεύει Κινέζους χρήστες Windows.

Οι μολύνσεις αυτές προέρχονται από έναν ψεύτικο ιστότοπο (“chrome-web[.]com”), ο οποίος διανέμει κακόβουλα πακέτα προγραμμάτων εγκατάστασης, προσποιούμενα ότι είναι το πρόγραμμα περιήγησης Chrome της Google. Αυτό υποδηλώνει ότι στοχεύουν χρήστες που αναζητούν το λογισμικό στο διαδίκτυο.

Το Gh0st RAT είναι ένα μακροχρόνιο κακόβουλο λογισμικό που έχει παρατηρηθεί από το 2008 και έχει εξελιχθεί σε διάφορες παραλλαγές μέσα στα χρόνια, με κύριες εκστρατείες που οργανώνονται από ομάδες κυβερνοκατασκοπείας, οι οποίες συνδέονται με την Κίνα. Ορισμένες εκδόσεις του trojan έχουν επίσης χρησιμοποιηθεί προηγουμένως – και εκμεταλλεύονταν servers MS SQL με μη επαρκή ασφάλεια – για να εγκαταστήσουν κρυφά open-source rootkits.

Δείτε ακόμη: Το 9002 RAT malware στοχεύει ιταλικές εταιρείες

Σύμφωνα με την εταιρεία κυβερνοασφάλειας eSentire, η οποία αποκάλυψε τη νέα αυτή δραστηριότητα, η στόχευση των Κινέζων χρηστών προκύπτει από τη «χρήση κινεζικής γλώσσας στο διαδίκτυο και κινεζικών εφαρμογών που αποσκοπούν στην κλοπή δεδομένων και στην αμυντική διαφυγή από κακόβουλο λογισμικό».

Το MSI πρόγραμμα εγκατάστασης που κατεβάστηκε από τον ψεύτικο ιστότοπο περιλαμβάνει δύο αρχεία: ένα νόμιμο εκτελέσιμο πρόγραμμα εγκατάστασης του Chrome και ένα κακόβουλο πρόγραμμα εγκατάστασης (“WindowsProgram.msi”), το οποίο χρησιμοποιείται για την εκτέλεση του shellcode που φορτώνει το Gh0stGambit.

Το dropper ελέγχει επίσης την εγκατάσταση λογισμικού ασφαλείας, όπως το 360 Safe Guard και το Microsoft Defender Antivirus, προτού επικοινωνήσει με έναν διακομιστή εντολών και ελέγχου (C2) για να αποκτήσει το Gh0st RAT.

Το Gh0st RAT είναι γραμμένο σε C++ και προσφέρει πολλές δυνατότητες, όπως τερματισμό διεργασιών, διαγραφή αρχείων, ηχογράφηση, καταγραφή στιγμιότυπων οθόνης, απομακρυσμένη εκτέλεση εντολών, καταγραφή πλήκτρων, εξαγωγή δεδομένων και απόκρυψη μητρώου, αρχείων και καταλόγων μέσω των λειτουργιών του rootkit, καθώς και πολλές άλλες. Αυτό αναφέρει η eSentire.

Το λογισμικό έχει τη δυνατότητα να απορρίπτει το Mimikatz, να ενεργοποιεί το RDP στους παραβιασμένους servers, να αποκτά πρόσβαση

σε αναγνωριστικά λογαριασμών που σχετίζονται με το Tencent QQ, να διαγράφει τα αρχεία καταγραφής των Windows και να καταστρέφει δεδομένα από τους περιηγητές 360 Secure Browser, QQ Browser και Sogou Explorer.

Διαβάστε περισσότερα: Palo Alto: Διορθώνει κρίσιμη ευπάθεια στο Expedition Migration Tool

Η καναδική εταιρεία ανέφερε ότι αυτές οι τεχνικές σχετίζονται με μια παραλλαγή του Gh0st RAT, γνωστή ως HiddenGh0st, την οποία παρακολουθεί το Κέντρο Πληροφοριών Ασφαλείας AhnLab (ASEC).

Το Gh0st RAT έχει αποκτήσει ευρεία χρήση και παραλλαγές από ομάδες APT και εγκληματικές οργανώσεις τα τελευταία χρόνια,” όπως ανέφερε η eSentire. “Τα πρόσφατα ευρήματα τονίζουν την εξάπλωση αυτής της απειλής μέσω λήψεων που παραπλανούν τους χρήστες να εγκαταστήσουν ένα κακόβουλο πρόγραμμα του Chrome από αναξιόπιστους ιστότοπους.”

Η συνεχής επιτυχία αυτών των λήψεων υπογραμμίζει τη σημασία της διαρκούς εκπαίδευσης και των προγραμμάτων ευαισθητοποίησης σχετικά με θέματα ασφάλειας.

Η Symantec, θυγατρική της Broadcom, ανέφερε αύξηση στις καμπάνιες phishing που πιθανόν εκμεταλλεύονται μεγάλα γλωσσικά μοντέλα (LLM) για τη δημιουργία κακόβουλου κώδικα σε PowerShell και HTML, ο οποίος χρησιμοποιείται για τη λήψη διαφόρων loaders και stealers.

Τα ηλεκτρονικά μηνύματα περιλάμβαναν “κώδικα που χρησιμοποιείται για τη λήψη διαφόρων κακόβουλων φορτίων, όπως τα Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot και Dunihi (H-Worm),” όπως ανέφεραν οι ερευνητές ασφαλείας Nguyen Hoang Giang και Yi Helen Zhang.

Δείτε επίσης: Το Coyote banking trojan στοχεύει χρήστες Windows στη Βραζιλία

“Η ανάλυση των σεναρίων παράδοσης κακόβουλου λογισμικού σε αυτές τις επιθέσεις υποδεικνύει ότι δημιουργήθηκαν με τη βοήθεια LLM.”

Πηγή: thehackernews