最近,恶意行为者利用新的 Gh0stGambit dropper 通过驱动下载攻击在中国 Windows 用户中分发 Gh0st RAT 恶意软件,The Hacker News 报道。
海鸥加速器v6.5.0破解版这些恶意包伪装成 Google Chrome 安装程序,并被托管在虚假网站上,以便于用户下载。研究表明,这些包不仅包括合法的 Chrome 安装执行文件,还包含一个加载 Gh0stGambit 的 Trojan 安装程序。该程序会先验证用户的安全软件,然后再获取 Gh0st RAT。
根据 eSentire 的分析,Gh0st RAT 具备多种恶意功能,例如:
功能描述进程终止可以强制结束其他进程文件删除删除指定的文件远程命令执行允许远程执行命令数据外泄将敏感数据传输到攻击者Mimikatz 投放保护用户凭据遭到盗用远程桌面协议激活可以远程访问用户计算机Windows 事件日志删除清除系统事件记录浏览器数据抹除删除浏览器存储的敏感数据研究人员注意到,该恶意软件与由 AhnLab 安全智能中心的研究人员发现的 Gh0st RAT 变种 Hidden Ghost 在许多方面具有相似性。
“最近的发现突出表明,这一威胁通过驱动下载进行传播,诱骗用户从虚假网站下载恶意的 Chrome 安装程序。”eSentire 的研究人员表示。
