Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эксперты предупредили о вирусе Gh0st RAT, атакующем пользователей Windows через поддельный сайт Chrome

36
2 мин
Специалисты по информационной безопасности предупредили о выявлении новой киберпреступной кампании, в рамках которой злоумышленники стараются распространить вирус Gh0st RAT среди пользователей операционной системы Windows через фейковый сайт, якобы относящийся к браузеру Chrome. Об этом накануне рассказали эксперты компании eSentire. По словам аналитиков eSentire, троян удалённого доступа, известный как Gh0st RAT, распространяется злоумышленниками с помощью «неуловимого дроппера» под названием Gh0stGambit в рамках схемы скрытой загрузки, нацеленной на пользователей Windows. Эти заражения происходят с поддельного веб-сайта «chrome-web[.]com», на котором пользователям предлагается скачать вредоносные установочные пакеты, маскирующиеся под браузер Chrome от Google. Gh0st RAT — это давно существующее вредоносное ПО, которое было обнаружено ещё в 2008 году и проявлялось ранее в виде различных вариантов на протяжении многих лет в кампаниях, в первую очередь организованных связанными с Китаем
Изображение: Clint Patterson (unsplash)
Изображение: Clint Patterson (unsplash)

Специалисты по информационной безопасности предупредили о выявлении новой киберпреступной кампании, в рамках которой злоумышленники стараются распространить вирус Gh0st RAT среди пользователей операционной системы Windows через фейковый сайт, якобы относящийся к браузеру Chrome. Об этом накануне рассказали эксперты компании eSentire.

По словам аналитиков eSentire, троян удалённого доступа, известный как Gh0st RAT, распространяется злоумышленниками с помощью «неуловимого дроппера» под названием Gh0stGambit в рамках схемы скрытой загрузки, нацеленной на пользователей Windows.

Эти заражения происходят с поддельного веб-сайта «chrome-web[.]com», на котором пользователям предлагается скачать вредоносные установочные пакеты, маскирующиеся под браузер Chrome от Google.

Gh0st RAT — это давно существующее вредоносное ПО, которое было обнаружено ещё в 2008 году и проявлялось ранее в виде различных вариантов на протяжении многих лет в кампаниях, в первую очередь организованных связанными с Китаем группами кибершпионажа. Установщик MSI, загруженный с поддельного сайта, содержит два файла: легитимный исполняемый файл установки Chrome и вредоносный установщик («WindowsProgram.msi»), последний из которых используется для запуска шелл-кода, отвечающего за загрузку Gh0stGambit.

В свою очередь, дроппер проверяет наличие программного обеспечения безопасности (например, 360 Safe Guard и Microsoft Defender Antivirus) прежде чем установить связь с сервером управления и контроля (C2) для извлечения Gh0st RAT. «Gh0st RAT написан на C++ и имеет множество функций, включая завершение процессов, удаление файлов, захват звука и снимков экрана, удалённое выполнение команд, ведение журнала нажатий клавиш, кражу данных, сокрытие реестра, файлов и каталогов с помощью возможностей руткита и многое другое», — сообщает eSentire.

Он также способен отключать Mimikatz, включать RDP на скомпрометированных хостах, получать доступ к идентификаторам учётных записей, связанных с Tencent QQ, очищать журналы событий Windows и стирать данные из 360 Secure Browser, QQ Browser и Sogou Explorer.

Оригинал публикации на сайте CISOCLUB: "Эксперты предупредили о вирусе Gh0st RAT, атакующем пользователей Windows через поддельный сайт Chrome".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются