Целевые атаки на Тайване от Infamous RAT Gh0st
BKDR_GHOST (иои RAT Gh0st или TROJ_GHOST), известный Троян удаленного доступа, обычно используется для атаки, и широко известен как инструмент киберпреступников.
В этой конкретной атаке, злоумышленники доставляли BKDR_GHOST ничего не подозревающим целям через собственный фишинговые письма, которые содержали ссылку, где вредоносная программа автоматически загружалась. Она представляется как Тайваньское Бюро Национальной медицинской страховой службой, что делаут e-mail достаточно убедительным, чтобы заставить цель перейти по ссылке.
Чтобы избежать лёгкого обнаружения, злоумышленники разработали письма, содержащие эту ссылку, которая перенаправляет пользователей на определённый сайт и автоматически загружает RAR архив. Кроме того, в целях дальнейшего убеждения, мошенники используют старый трюк с переименованием файлов (ставят пробелы в названиях между DOC и EXE). Это всё ещё эффективный метод!
Как только пользователь… (читать далее)
Как только пользователь открывает вредоносную программу, которая представляет собой исполняемый файл, происходят следующие действия:
- % WINDIR%\Addins\CORPORATION.VBS (обнаружен как VBS_GHOST) — выполняет скрипт установки Gh0st RAT (AMICROSOFT.VBS)
- % System%\Addins\AMICROSOFT.VBS (обнаружен как VBS_GHOST) — извлекает защищённые паролем Gh0st RAT архив (f2o.zip)
- % System%\Addins\Atask.bat (обнаружены как BAT_GHOST) — ищет и записывает следующие файлы с выделенных компонентов RAT Gh0st:
- Adobearm.exe
- jusched.exe
- Reader_sl.exe
- % System%\Addins\f2o.zip — содержит 2 варианта BKDR_GHOST выполняющих аналогичные вредоносного поведения:
- put.exe (Определен как BKDR_GHOST)
- cd.exe (Определен как BKDR_GHOST)
В попытке быть незаметным, BKDR_GHOST хранит в защищенном паролем файле из архива (f2o.zip) пароли, которые можно найти внутри AMICROSOFT.VBS сценария установки. После того как BKDR_GHOST выполнится, нападавшие получают полный доступ на зараженной системе для выполнения своих преступных действий и получение данных, вроде личной информации.
Чтобы не стать жертвой таких атак, рекомендуем пользователям быть всегда осторожным, прежде чем открывать любые вложения или кликать по ссылкам, содержащихся в сообщениях электронной почты. Это довольно обычное для злоумышленников подмена государственных учреждений и других учреждений, таким образом, пользователи должны проверить достоверность электронного адреса, которые они получают.