La seguridad en internet es cada vez más importante, y los troyanos son una de las amenazas más engañosas que enfrentamos a diario. Recientemente, se ha detectado una amenaza cibernética dirigida específicamente a usuarios de Windows que hablan chino. Se trata del troyano de acceso remoto (RAT) conocido como Gh0st RAT, el cual está siendo distribuido mediante un "dropper evasivo" llamado Gh0stGambit. Este sofisticado esquema de distribución se lleva a cabo a través de un sitio web falso, "chrome-web[.]com", que engaña a los usuarios haciéndose pasar por un sitio legítimo de descarga del navegador Google Chrome.
Los usuarios que buscan instalar Chrome son redirigidos a este sitio web falso, donde se les ofrece un paquete de instalación que, en realidad, contiene el malware Gh0st RAT. Este método de distribución selectiva indica que los atacantes están apuntando específicamente a este grupo demográfico, aprovechando la popularidad y confianza del navegador de Google para infiltrar sus sistemas.
Gh0st RAT no es una amenaza nueva; de hecho, ha estado presente en el panorama del cibercrimen desde 2008. A lo largo de los años, ha evolucionado y se ha adaptado, presentándose en diversas variantes que han sido utilizadas en campañas de ciberespionaje. Estas campañas a menudo se atribuyen a grupos con vínculos con China, lo que sugiere un posible interés en la obtención de información estratégica o sensible de los sistemas comprometidos.
Además de la distribución a través del sitio web falso, algunas versiones de Gh0st RAT han sido desplegadas infiltrando instancias de servidores MS SQL que carecen de protección adecuada. Una vez dentro de estos servidores, el troyano puede instalar el rootkit de código abierto Hidden, proporcionando a los atacantes un acceso aún más profundo y persistente a los sistemas infectados.
Conoce más sobre: Rootkits en Seguridad Informática: ¿Qué son?
El sitio fraudulento, diseñado para parecer una fuente confiable de descarga de Chrome, ofrece un archivo MSI que contiene dos componentes: un ejecutable legítimo de instalación de Chrome y un archivo malicioso denominado "WindowsProgram.msi". Este último se utiliza para activar un código shell que carga el dropper Gh0stGambit. El dropper es una pieza de software que introduce malware en el sistema y, en este caso, su función principal es desplegar el troyano Gh0st RAT.
Antes de proceder a la instalación del malware, el dropper realiza una verificación para detectar la presencia de software de seguridad, como 360 Safe Guard y Microsoft Defender Antivirus. Si no encuentra obstáculos, se conecta a un servidor de comando y control (C2) desde donde descarga e instala Gh0st RAT en el sistema comprometido.
Gh0st RAT, escrito en C++, es un troyano extremadamente versátil con una amplia gama de capacidades. Entre sus funciones destacan la terminación de procesos, eliminación de archivos, captura de audio y pantalla, ejecución remota de comandos, registro de teclas y exfiltración de datos. Además, puede ocultar registros, archivos y directorios mediante funcionalidades de rootkit, lo que lo convierte en una herramienta eficaz para los atacantes que buscan mantener el acceso persistente y oculto en los sistemas comprometidos.
El troyano también puede desplegar herramientas adicionales como Mimikatz para la extracción de credenciales, habilitar el Protocolo de Escritorio Remoto en los equipos infectados, y acceder a cuentas de servicios populares en China, como Tencent QQ. Además, tiene la capacidad de manipular registros de eventos de Windows y borrar datos de navegadores como 360 Secure Browser, QQ Browser y Sogou Explorer.
Esta nueva variante de Gh0st RAT, identificada por algunos investigadores de seguridad bajo el nombre de HiddenGh0st, muestra similitudes con otras variantes anteriores utilizadas por grupos de amenazas persistentes avanzadas (APT) y organizaciones criminales. El uso de técnicas de descarga automática para distribuir este malware subraya la importancia de una formación continua en ciberseguridad para los usuarios, así como la necesidad de estar siempre alerta ante posibles amenazas y verificar la autenticidad de las fuentes de descarga de software.
Podría interesarte leer: ¿Cómo Fomentar la Conciencia sobre Ciberseguridad en tu Empresa?
GH0ST RAT es un recordatorio de que incluso las amenazas cibernéticas antiguas pueden seguir siendo peligrosas. La reciente campaña dirigida a empresas chinas demuestra que el ciberespionaje es una realidad constante y que todos los sectores, especialmente aquellos que manejan información sensible, deben estar preparados para enfrentarlo. A través de la educación, la implementación de medidas de seguridad robustas y una vigilancia continua, es posible protegerse contra amenazas como Gh0st RAT y garantizar la seguridad de los datos y sistemas.
No te arriesgues a ser la próxima víctima de malware como Gh0st RAT. Con TecnetProtect, obtienes una solución integral de ciberseguridad y backups que te protege contra amenazas avanzadas y asegura tus datos más valiosos. Desde detección de amenazas hasta la recuperación de datos, TecnetProtect cubre todas tus necesidades de seguridad digital. Mantente un paso adelante y evita los riesgos de descargas maliciosas y brechas de seguridad. Contáctanos para una consulta gratuita y disfruta de la tranquilidad de tener tus datos siempre seguros.