يستهدف حصان طروادة Gh0st RAT مستخدمي Windows الصينيين عبر موقع Chrome المزيف
تمت ملاحظة وصول حصان طروادة عن بعد المعروف باسم Gh0st RAT بواسطة “قطارة مراوغة” تسمى Gh0stGambit كجزء من نظام التنزيل من محرك الأقراص الذي يستهدف مستخدمي Windows الناطقين باللغة الصينية.
تنبع هذه العدوى من موقع ويب مزيف (“chrome-web[.]com”) التي تقدم حزم تثبيت ضارة تتنكر في هيئة متصفح Google Chrome، مما يشير إلى أنه يتم تمييز المستخدمين الذين يبحثون عن البرنامج على الويب.
Gh0st RAT هو برنامج ضار طويل الأمد تمت ملاحظته في البرية منذ عام 2008، ويظهر في شكل متغيرات مختلفة على مر السنين في الحملات التي نظمتها في المقام الأول مجموعات التجسس الإلكتروني الصينية.
تم أيضًا نشر بعض تكرارات حصان طروادة مسبقًا عن طريق التسلل إلى مثيلات خادم MS SQL سيئة التأمين، واستخدامها كقناة لتثبيت برنامج rootkit المخفي مفتوح المصدر.
وفقًا لشركة الأمن السيبراني eSentire، والتي اكتشف وفي أحدث نشاط، يعتمد استهداف المستخدمين الناطقين باللغة الصينية على “استخدام إغراءات الويب باللغة الصينية والتطبيقات الصينية المستهدفة لسرقة البيانات والتهرب الدفاعي بواسطة البرامج الضارة”.
يحتوي مثبت MSI الذي تم تنزيله من موقع الويب المزيف على ملفين، إعداد Chrome شرعي قابل للتنفيذ ومثبت ضار (“WindowsProgram.msi”)، يُستخدم الأخير لتشغيل كود القشرة المسؤول عن تحميل Gh0stGambit.
يقوم البرنامج بدوره بالتحقق من وجود برنامج أمان (على سبيل المثال، 360 Safe Guard وMicrosoft Defender Antivirus) قبل إنشاء اتصال مع خادم القيادة والتحكم (C2) من أجل استرداد Gh0st RAT.
“تم كتابة Gh0st RAT بلغة C++ ويحتوي على العديد من الميزات، بما في ذلك إنهاء العمليات، وإزالة الملفات، والتقاط الصوت ولقطات الشاشة، وتنفيذ الأوامر عن بعد، وتسجيل لوحة المفاتيح، واستخراج البيانات، وإخفاء السجل، والملفات، والأدلة عبر إمكانات rootkit، وغيرها الكثير.” ” قال eSentire.
كما أنه قادر على إسقاط Mimikatz، وتمكين RDP على الأجهزة المضيفة المخترقة، والوصول إلى معرفات الحساب المرتبطة بـ Tencent QQ، ومسح سجلات أحداث Windows، ومسح البيانات من 360 Secure Browser، وQQ Browser، وSogou Explorer.
وقالت الشركة الكندية إن أسهم القطع الأثرية تتداخل مع متغير Gh0st RAT الذي يتتبعه مركز الاستخبارات الأمنية AhnLab (ASEC) تحت اللقب HiddenGh0st.
وقال eSentire: “لقد شهد Gh0st RAT استخدامًا وتعديلًا واسع النطاق من قبل APT والجماعات الإجرامية على مدار السنوات العديدة الماضية”. “تسلط النتائج الأخيرة الضوء على توزيع هذا التهديد عبر التنزيلات من محرك الأقراص، مما يخدع المستخدمين لتنزيل برنامج تثبيت Chrome ضار من موقع ويب مخادع.”
“إن النجاح المستمر للتنزيلات من السيارة يعزز الحاجة إلى برامج التدريب والتوعية الأمنية المستمرة.”
ويأتي هذا التطوير في الوقت الذي قالت فيه شركة Symantec المملوكة لشركة Broadcom إنها لاحظت زيادة في حملات التصيد الاحتيالي التي من المحتمل أن تستفيد من نماذج اللغات الكبيرة (LLMs) لإنشاء تعليمات برمجية PowerShell وHTML ضارة تستخدم لتنزيل العديد من أدوات التحميل والسرقة.
تحتوي رسائل البريد الإلكتروني على “تعليمات برمجية تُستخدم لتنزيل حمولات مختلفة، بما في ذلك Rhadamanthys وNetSupport RAT وCleanUpLoader (Broomstick وOyster) وModiLoader (DBatLoader) وLokiBot وDunihi (H-Worm)”،” الباحثون الأمنيون Nguyen Hoang Giang وYi Helen Zhang. قال. “يشير تحليل البرامج النصية المستخدمة لتوصيل البرامج الضارة في هذه الهجمات إلى أنها تم إنشاؤها باستخدام LLMs.”
إرسال التعليق