Falso instalador do Chrome
29 de Julho de 2024

O trojan de acesso remoto conhecido como Gh0st RAT foi observado sendo entregue por um "evasive dropper" chamado Gh0stGambit, como parte de um esquema de drive-by download direcionado a usuários de Windows que falam chinês.

Essas infecções originam-se de um site falso ("chrome-web[.]com") que oferece pacotes instaladores maliciosos se passando pelo navegador Chrome do Google, indicando que os usuários que procuram pelo software na web estão sendo especificamente visados.

O Gh0st RAT é um malware de longa data que tem sido observado “in the wild” desde 2008, manifestando-se em forma de diferentes variantes ao longo dos anos em campanhas principalmente orquestradas por grupos de ciberespionagem com conexões com a China.

Algumas iterações do trojan também foram previamente implementadas infiltrando-se em instâncias do MS SQL server pouco seguras, utilizando-as como um meio para instalar o rootkit open-source Hidden.

De acordo com a firma de cibersegurança eSentire, que descobriu a última atividade, o direcionamento de usuários que falam chinês baseia-se "no uso de iscas na web em chinês e aplicações chinesas visadas para o roubo de dados e evasão de defesa pelo malware."

O instalador MSI baixado do site falso contém dois arquivos, um executável legítimo de instalação do Chrome e um instalador malicioso ("WindowsProgram.msi"), este último é usado para lançar um shellcode responsável por carregar o Gh0stGambit.

O dropper, por sua vez, verifica a presença de software de segurança (por exemplo, 360 Safe Guard e Microsoft Defender Antivirus) antes de estabelecer contato com um servidor de command-and-control (C2) para recuperar o Gh0st RAT.

"O Gh0st RAT é escrito em C++ e tem muitas funcionalidades, incluindo terminar processos, remover arquivos, capturar áudio e capturas de tela, execução de comando remoto, keylogging, exfiltração de dados, ocultar registro, arquivos e diretórios via capacidades do rootkit, e muito mais," disse a eSentire.

Também é capaz de instalar Mimikatz, habilitar RDP nos hosts comprometidos, acessar identificadores de conta associados ao Tencent QQ, limpar logs de eventos do Windows e apagar dados do 360 Secure Browser, QQ Browser e Sogou Explorer.

A empresa canadense disse que o artefato compartilha semelhanças com uma variante do Gh0st RAT rastreada pelo AhnLab Security Intelligence Center (ASEC) sob o codinome HiddenGh0st.

"O Gh0st RAT viu um uso e modificação generalizados por grupos APT e criminosos ao longo dos últimos anos," afirmou a eSentire.

Os achados recentes destacam a distribuição dessa ameaça via drive-by downloads, enganando usuários a baixarem um instalador malicioso do Chrome de um site enganoso. O sucesso contínuo dos drive-by downloads reforça a necessidade de programas contínuos de treinamento em segurança e conscientização.

Este desenvolvimento ocorre enquanto a Symantec, de propriedade da Broadcom, disse que observou um aumento nas campanhas de phishing provavelmente aproveitando Modelos de Linguagem de Grande Escala (LLMs) para gerar código malicioso em PowerShell e HTML usado para baixar vários loaders e stealers.

Os e-mails continham "código usado para baixar diversos payloads, incluindo Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot, e Dunihi (H-Worm)," disseram os pesquisadores de segurança Nguyen Hoang Giang e Yi Helen Zhang.

A análise dos scripts usados para entregar malware nesses ataques sugere que foram gerados usando LLMs.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...