CONTACTANOS
Contactanos por Whatsapp

Novedades

Alerta en LATAM por intensa actividad de Gh0st RAT, un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia. Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.

Blog Details Image
Ghost RAT

Gh0st RAT es un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia.

Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.


Características

Gh0st RAT es un remote Access control de código abierto el cual posee las siguientes técnicas:

  • Añade claves de registro para establecer persistencia.
  • Es capaz de establecer una Shell remota para la ejecución de comandos.
  • Evade la detección con conexiones TCP encriptadas.
  • Utiliza RC4 y XOR para cifrar el tráfico C2.
  • Posee un módulo de Keylogger.
  • Puede descargar archivos en la maquina infectada.
  • Algunas variantes utilizan Rundll32 para su ejecución.


Funcionamiento

Gh0st RAT utiliza el siguiente esquema de ataque siguiendo un modelo típico de ciclo de vida del malware dirigido. Un ejemplo de cómo podría funcionar es el siguiente:

Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.

Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.

Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.

Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.


IOC

IP:

  • 66.240.205.34

Dominio:

  • malware-hunter.census.shodan.io


Fuentes de información

• https://www.rsa.com/content/dam/en/case-study/gh0st-rat.pdf

• https://attack.mitre.org/software/S0032/

• https://www.abuseipdb.com/check/66.240.205.34

• https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.240.205.34&run=toolpage


Noticias relacionadas