CONTACTANOS
Contactanos por Whatsapp
expertos@ransecurity.com

Novedades

Alerta en LATAM por intensa actividad de Gh0st RAT, un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia. Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.

Blog Details Image
Ghost RAT

Gh0st RAT es un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia.

Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.


Características

Gh0st RAT es un remote Access control de código abierto el cual posee las siguientes técnicas:

  • Añade claves de registro para establecer persistencia.
  • Es capaz de establecer una Shell remota para la ejecución de comandos.
  • Evade la detección con conexiones TCP encriptadas.
  • Utiliza RC4 y XOR para cifrar el tráfico C2.
  • Posee un módulo de Keylogger.
  • Puede descargar archivos en la maquina infectada.
  • Algunas variantes utilizan Rundll32 para su ejecución.


Funcionamiento

Gh0st RAT utiliza el siguiente esquema de ataque siguiendo un modelo típico de ciclo de vida del malware dirigido. Un ejemplo de cómo podría funcionar es el siguiente:

Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.

Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.

Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.

Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.


IOC

IP:

  • 66.240.205.34

Dominio:

  • malware-hunter.census.shodan.io


Fuentes de información

• https://www.rsa.com/content/dam/en/case-study/gh0st-rat.pdf

• https://attack.mitre.org/software/S0032/

• https://www.abuseipdb.com/check/66.240.205.34

• https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.240.205.34&run=toolpage


Categorias

Noticias relacionadas

Vulnerabilidad crítica de Citrix (CVE2022-27510 CVE-2022-27513 CVE-2022- 27516)
Informes

Vulnerabilidad crítica de Citrix (CVE2022-27510 CVE-2022-27513 CVE-2022- 27516)

Leer +
Acciones recomendadas para enfrentar vulnerabilidad en Log4j Server Web de Apache.
Informes

Acciones recomendadas para enfrentar vulnerabilidad en Log4j Server Web de Apache.

Conoce las acciones que puedes tomar para protegerte de la vulnerabilidad critica en la librería Log4j en el servidor Web de Apache. Esta vulnerabilidad esta identificada con el siguiente CVE: CVE-2021-44228. Esto impacta múltiples servicios y aplicaciones, incluyendo servicios tan populares como Minecraft, Steam y el iCloud de Apple.

Leer +
Multifactor de Autenticación para las conexiones remotas fuera de la organización.
Novedades

Multifactor de Autenticación para las conexiones remotas fuera de la organización.

Los ciberatacantes modernos ya no se limitan a hackear los sistemas: inician sesión en ellos. Las contraseñas estáticas ya no son confiables y todas las organizaciones deberían adoptar una filosofía de Nunca Confiar, siempre verificar, minimizar los privilegios.

Leer +
Códigos QR: 5 formas en que pueden ser aprovechados por estafadores
Informes

Códigos QR: 5 formas en que pueden ser aprovechados por estafadores

El uso de los códigos QR tuvo una explosión con la pandemia, en gran parte por su contribución al reducir la necesidad de contacto con superficies que puedan haber sido manipuladas por terceros y de esta manera minimizar los riesgos de contagio. Actualmente están siendo utilizados en diversos sectores y de distinta manera, por ejemplo, para mostrar el menú de comidas de un restaurante, medios de pago, solicitud de servicios, compartir un contacto, etc. Sin embargo, como suele suceder con cualquier tecnología que se vuelve popular, también captó la atención de los cibercriminales que los están utilizando con fines maliciosos.

Leer +
5 formas en que los cibercriminales roban contraseñas
Informes

5 formas en que los cibercriminales roban contraseñas

Dado que la contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros, los delincuentes apuntan a robar o descifrar estos inicios de sesión. Las contraseñas son las llaves virtuales del mundo digital, ya que proporcionan acceso a servicios de banca en línea, correo electrónico y redes sociales, cuentas como Netflix o Uber, así como a todos los datos alojados en el almacenamiento en la nube.

Leer +
6 formas de defenderse de un ataque de ransomware
Informes

6 formas de defenderse de un ataque de ransomware

El ransomware, la extorsión cibernética que ocurre cuando un software malicioso se infiltra en los sistemas informáticos y cifra los datos, manteniéndolos como rehenes hasta que la víctima paga un rescate, puede tener un impacto mayor en una organización que una violación de datos.

Leer +