Gh0st RAT Trojan richt zich op Chinese Windows-gebruikers via nep-Chrome-site

De trojan voor externe toegang, bekend als Gh0st RAT, is gespot als verspreider via een ‘evasive dropper’ genaamd Gh0stGambit als onderdeel van een drive-by downloadstrategie gericht op Chinees sprekende Windows-gebruikers.

Deze infecties zijn afkomstig van een nepwebsite (“chrome-web(.)com”) die schadelijke installatiepakketten aanbiedt die zich voordoen als de Chrome-browser van Google. Dit geeft aan dat gebruikers die op internet naar de software zoeken, worden uitgekozen.

Gh0st RAT is een al langer bestaande vorm van malware die sinds 2008 in het wild wordt waargenomen en zich in de loop der jaren in verschillende varianten manifesteert in campagnes die voornamelijk worden georkestreerd door cyberespionagegroepen die nauw verbonden zijn met China.

Sommige versies van de trojan zijn eerder ook al ingezet door slecht beveiligde MS SQL Server-instanties te infiltreren en deze te gebruiken als kanaal om de open-source rootkit Hidden te installeren.

Volgens het cybersecuritybedrijf eSentire, dat de laatste activiteit ontdekte, is de aanval op Chineestalige gebruikers gebaseerd op “het gebruik van Chineestalige weblokmiddelen en Chinese applicaties die door de malware worden gebruikt om gegevens te stelen en verdediging te omzeilen.”

Het MSI-installatieprogramma dat van de valse website is gedownload, bevat twee bestanden: een legitiem uitvoerbaar bestand voor de Chrome-installatie en een schadelijk installatieprogramma (“WindowsProgram.msi”). Het laatste bestand wordt gebruikt om shellcode te starten die verantwoordelijk is voor het laden van Gh0stGambit.

De dropper controleert vervolgens op de aanwezigheid van beveiligingssoftware (bijvoorbeeld 360 Safe Guard en Microsoft Defender Antivirus) voordat er contact wordt gemaakt met een command-and-control (C2)-server om Gh0st RAT op te halen.

“Gh0st RAT is geschreven in C++ en heeft veel functies, waaronder het beëindigen van processen, het verwijderen van bestanden, het vastleggen van audio en screenshots, het uitvoeren van opdrachten op afstand, keylogging, data-exfiltratie, het verbergen van het register, bestanden en mappen via rootkit-mogelijkheden, en nog veel meer”, aldus eSentire.

Het kan ook Mimikatz verwijderen, RDP inschakelen op de gecompromitteerde hosts, toegang krijgen tot account-ID’s die zijn gekoppeld aan Tencent QQ, Windows-gebeurtenislogboeken wissen en gegevens wissen uit 360 Secure Browser, QQ Browser en Sogou Explorer.

Het Canadese bedrijf zei dat de artefacten overlappen met een Gh0st RAT-variant die wordt gevolgd door het AhnLab Security Intelligence Center (ASEC) onder de naam HiddenGh0st.

“Gh0st RAT is de afgelopen jaren op grote schaal gebruikt en aangepast door APT en criminele groepen”, aldus eSentire. “De recente bevindingen benadrukken de verspreiding van deze dreiging via drive-by downloads, waarbij gebruikers worden misleid om een ​​kwaadaardige Chrome-installatie te downloaden van een misleidende website.”

“Het aanhoudende succes van drive-by-downloads onderstreept de noodzaak voor voortdurende beveiligingstrainingen en bewustwordingsprogramma’s.”

De ontwikkeling komt nadat Symantec, eigendom van Broadcom, meldde dat het een toename heeft waargenomen in phishingcampagnes die waarschijnlijk gebruikmaken van Large Language Models (LLM’s) om schadelijke PowerShell- en HTML-code te genereren. Deze code wordt gebruikt om verschillende loaders en stealers te downloaden.

De e-mails bevatten “code die werd gebruikt om verschillende payloads te downloaden, waaronder Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot en Dunihi (H-Worm)”, aldus beveiligingsonderzoekers Nguyen Hoang Giang en Yi Helen Zhang. “Analyse van de scripts die werden gebruikt om malware te leveren bij deze aanvallen, suggereert dat ze werden gegenereerd met behulp van LLM’s.”

Thijs Van der Does