Специалисты по информационной безопасности предупредили о выявлении новой киберпреступной кампании, в рамках которой злоумышленники стараются распространить вирус Gh0st RAT среди пользователей операционной системы Windows через фейковый сайт, якобы относящийся к браузеру Chrome. Об этом накануне рассказали эксперты компании eSentire.
По словам аналитиков eSentire, троян удалённого доступа, известный как Gh0st RAT, распространяется злоумышленниками с помощью «неуловимого дроппера» под названием Gh0stGambit в рамках схемы скрытой загрузки, нацеленной на пользователей Windows.
Эти заражения происходят с поддельного веб-сайта «chrome-web[.]com», на котором пользователям предлагается скачать вредоносные установочные пакеты, маскирующиеся под браузер Chrome от Google.
Gh0st RAT — это давно существующее вредоносное ПО, которое было обнаружено ещё в 2008 году и проявлялось ранее в виде различных вариантов на протяжении многих лет в кампаниях, в первую очередь организованных связанными с Китаем группами кибершпионажа. Установщик MSI, загруженный с поддельного сайта, содержит два файла: легитимный исполняемый файл установки Chrome и вредоносный установщик («WindowsProgram.msi»), последний из которых используется для запуска шелл-кода, отвечающего за загрузку Gh0stGambit.
В свою очередь, дроппер проверяет наличие программного обеспечения безопасности (например, 360 Safe Guard и Microsoft Defender Antivirus) прежде чем установить связь с сервером управления и контроля (C2) для извлечения Gh0st RAT. «Gh0st RAT написан на C++ и имеет множество функций, включая завершение процессов, удаление файлов, захват звука и снимков экрана, удалённое выполнение команд, ведение журнала нажатий клавиш, кражу данных, сокрытие реестра, файлов и каталогов с помощью возможностей руткита и многое другое», — сообщает eSentire.
Он также способен отключать Mimikatz, включать RDP на скомпрометированных хостах, получать доступ к идентификаторам учётных записей, связанных с Tencent QQ, очищать журналы событий Windows и стирать данные из 360 Secure Browser, QQ Browser и Sogou Explorer.
Оригинал публикации на сайте CISOCLUB: "Эксперты предупредили о вирусе Gh0st RAT, атакующем пользователей Windows через поддельный сайт Chrome".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
