29 de julio de 2024Sala de prensaCiberseguridad / Ciberespionaje Se ha observado que el troyano de acceso remoto conocido como Gh0st RAT es distribuido por un «dropper evasivo» llamado Gh0stGambit como parte de un esquema de descarga automática dirigido a usuarios de Windows de habla china. Estas infecciones provienen de un sitio web falso («chrome-web[.]com») que sirve paquetes de instalación maliciosos que se hacen pasar por el navegador Chrome de Google, lo que indica que los usuarios que buscan el software en la web están siendo seleccionados. Gh0st RAT es un malware de larga data que se ha observado en la red desde 2008, manifestándose en forma de diferentes variantes a lo largo de los años en campañas orquestadas principalmente por grupos de ciberespionaje con nexo con China. Algunas iteraciones del troyano también se han implementado anteriormente infiltrándose en instancias de servidor MS SQL mal protegidas, usándolo como un conducto para instalar el rootkit de código abierto oculto. Según la empresa de ciberseguridad eSentire, que descubrió la última actividad, el objetivo de los usuarios de habla china se basa en «el uso de señuelos web en idioma chino y aplicaciones chinas destinadas al robo de datos y la evasión de defensa por parte del malware». El instalador MSI descargado del sitio web falso contiene dos archivos, un ejecutable de configuración legítimo de Chrome y un instalador malicioso («WindowsProgram.msi»), el último de los cuales se utiliza para ejecutar el shellcode que es responsable de cargarGh0stGambit. El dropper, a su vez, comprueba la presencia de software de seguridad (por ejemplo, 360 Safe Guard y Microsoft Defender Antivirus) antes de establecer contacto con un servidor de comando y control (C2) para recuperar Gh0st RAT. «Gh0st RAT está escrito en C++ y tiene muchas características, incluyendo la terminación de procesos, la eliminación de archivos, la captura de audio y capturas de pantalla, la ejecución remota de comandos, el registro de pulsaciones de teclas, la exfiltración de datos, la ocultación del registro, los archivos y los directorios a través de las capacidades del rootkit, y muchas más», dijo eSentire. También es capaz de eliminar Mimikatz, habilitar RDP en los hosts comprometidos, acceder a los identificadores de cuenta asociados con Tencent QQ, borrar los registros de eventos de Windows y borrar datos de 360 ​​Secure Browser, QQ Browser y Sogou Explorer. La empresa canadiense dijo que el artefacto comparte superposiciones con una variante de Gh0st RAT rastreada por el Centro de Inteligencia de Seguridad AhnLab (ASEC) bajo el nombre de HiddenGh0st. «Gh0st RAT ha sido ampliamente utilizado y modificado por APT y grupos criminales durante los últimos años», dijo eSentire. «Los hallazgos recientes resaltan la distribución de esta amenaza a través de descargas automáticas, engañando a los usuarios para que descarguen un instalador malicioso de Chrome desde un sitio web engañoso». «El éxito continuo de las descargas automáticas refuerza la necesidad de programas de capacitación y concientización sobre seguridad en curso». El desarrollo se produce cuando Symantec, propiedad de Broadcom, dijo que observó un aumento en las campañas de phishing que probablemente aprovechan los modelos de lenguaje grande (LLM) para generar código HTML y PowerShell malicioso utilizado para descargar varios cargadores y ladrones. Los correos electrónicos contenían «código utilizado para descargar varias cargas útiles, incluyendo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot y Dunihi (H-Worm)», dijeron los investigadores de seguridad Nguyen Hoang Giang y Yi Helen Zhang. «El análisis de los scripts utilizados para distribuir malware en estos ataques sugiere que fueron generados mediante LLM». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.