Продолжающаяся кампания вредоносного ПО, разворачивающая Gh0st RAT, в первую очередь нацелена на пользователей, говорящих на китайском языке. Злоумышленники используют сочетание SEO poisoning и поддельных страниц загрузки DeepL, чтобы побудить жертв скачать вредоносный файл, замаскированный под легитимный инструмент перевода DeepL. После установки Gh0st RAT злоумышленники получают широкие возможности для наблюдения, удалённого управления и эксфильтрации данных со скомпрометированных устройств.
Как происходит атака
Технический анализ показывает следующую последовательность действий злоумышленников:
- Жертвы ищут службу перевода DeepL на китайском языке.
- В результатах популярных поисковиков — таких как Bing и Baidu — появляются отравленные (poisoned) ссылки, которые размещаются выше легитимных результатов за счёт SEO poisoning.
- Переход по таким ссылкам ведёт на поддельные страницы загрузки DeepL, внешне имитирующие официальный сайт, что облегчает первоначальный компромисс.
- Пользователю предлагается скачать MSI или EXE, замаскированные под законное ПО; при запуске такого файла происходит выполнение Gh0st RAT.
Технические детали поведения Gh0st RAT
После компрометации Gh0st RAT реализует следующие механизмы:
- Закрепление (persistence): изменение ключей автозапуска реестра Windows, что позволяет вредоносному бинарю выполняться при каждом старте системы.
- Командование и управление (C2): взаимодействие с C2 через пользовательский TCP‑трафик, который не обязательно проходит по стандартным HTTP/HTTPS или DNS каналам, что затрудняет обнаружение средствами, ориентированными на эти протоколы.
- Обход защиты: использование методов обфускации и запутывания кода, в том числе возможное кодирование/шифрование во время выполнения.
- Эксфильтрация и сбор данных: передача похищенной информации через тот же канал C2; сбор системных сведений и потенциально иных конфиденциальных данных.
- Поддержка выживаемости: возможное применение запланированных задач и вспомогательных скриптов/батч-файлов, которые отслеживают и перезапускают процессы RAT через Windows Command Shell.
MITRE ATT&CK: используемые техники
Кампания опирается на ряд техник из фреймворка MITRE ATT&CK. Основные техники, задействованные злоумышленниками:
- T1593.002 — Search Engine Poisoning (SEO poisoning)
- T1566.002 — Spearphishing (используется как вектор социальной инженерии)
- T1189 — Drive-by Compromise
- T1204.002 — запуск вредоносных MSI/EXE (User Execution)
- T1059.003 — Windows Command Shell (скрипты/батч‑файлы для поддержания процесса RAT)
- T1547.001 — Registry Run Keys / Startup Folder (автозапуск через реестр)
- T1053.005 — Scheduled Task (возможное использование запланированных задач)
- T1027 — Obfuscated Files or Information (запутывание/обфускация)
- T1140 — возможные приёмы кодирования/шифрования для затруднения анализа
- T1041 — Exfiltration Over C2 Channel (эксфильтрация по каналу C2)
- T1082 — System Information Discovery (сбор системной информации)
Почему это опасно
Комбинация SEO‑poisoning и имитации популярного сервиса переводов делает атаку особенно эффективной против пользователей, ищущих локализованные ресурсы. Использование нестандартного TCP‑канала для C2 и методов обфускации создаёт «слепые зоны» для традиционных средств мониторинга, ориентированных на HTTP/HTTPS и DNS, что усложняет своевременное обнаружение и реагирование.
Рекомендации по защите
Для снижения рисков и повышения шансов обнаружения подобных кампаний эксперты рекомендуют:
- Усилить контроль над источниками загрузок: пользователям объяснить, что официальный сайт DeepL — единственный доверенный источник, и проверять URL перед загрузкой.
- Внедрить многофакторную проверку источников и цифровые подписи для устанавливаемых пакетов (MSI/EXE).
- Мониторить нестандартный TCP‑трафик и применять эвристический анализ сетевых подключений, а не только фильтрацию HTTP/HTTPS/DNS.
- Контролировать и защищать ключи автозапуска реестра и запланированные задачи; применять целостность конфигураций.
- Развернуть современные EDR‑решения с возможностью обнаружения обфускации и поведения RAT‑семейств.
- Проводить регулярное обучение сотрудников и кампании по фишинговому тренингу, особенно среди целевых групп пользователей.
- Блокировать и расследовать подозрительные домены и копии сайтов, выявленные в результатах поисковых систем.
«Кампания иллюстрирует эволюцию тактик злоумышленников: сочетание классических приёмов социальной инженерии и технических ухищрений, направленных на обход традиционных средств защиты».
Эта атака служит напоминанием о том, что даже знакомые и повседневные сервисы могут быть использованы для распределения вредоносного ПО. Комплексный подход к безопасности — от обучения пользователей до сетевого мониторинга «ниже уровня HTTPS» — необходим для своевременного обнаружения и нейтрализации подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Gh0st RAT через SEO-отравление: поддельный DeepL нацелен на китайскоязычных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.