Троян Gh0st RAT атакует китайских пользователей Windows через фейк-сайт Chrome

Был обнаружен троян удаленного доступа, известный как Gh0st RAT, нацеленный на пользователей Windows в Китае.

Заражения происходят с поддельного веб-сайта («chrome-web[.]com»), предлагающего вредоносные установочные пакеты, маскирующиеся под браузер Chrome от Google, что указывает на то, что пользователи, ищущие программное обеспечение в Интернете, подвергаются особой атаке.

Gh0st RAT — это давно существующее вредоносное ПО, которое было обнаружено еще в 2008 году и проявлялось в виде различных вариантов на протяжении многих лет в кампаниях, инициированными в первую очередь организациями, связанными с группами кибершпионажа из Китая.

Некоторые версии трояна ранее уже внедрялись путем проникновения в плохо защищенные экземпляры сервера MS SQL, используя их в качестве канала для установки скрытого руткита с открытым исходным кодом.

По данным компании по кибербезопасности eSentire, которая обнаружила последнюю активность, нацеливание на пользователей, говорящих на китайском языке, основано на «использовании веб-приманок на китайском языке и китайских приложений, предназначенных для кражи данных и обхода защиты вредоносным ПО».

Установщик MSI, загруженный с поддельного сайта, содержит два файла: легитимный исполняемый файл установки Chrome и вредоносный установщик («WindowsProgram.msi»), последний из которых используется для запуска шелл-кода, отвечающего за загрузку Gh0stGambit.