Исследователи из Splunk Threat Research Team (STRT) обнаружили вредоносную кампанию с использованием сразу двух программ. Обфусцированный загрузчик доставляет троян Gh0st RAT на устройство и обеспечивает долговременный скрытый доступ, а рекламное ПО CloverPlus меняет поведение браузера и внедряет навязчивую рекламу.
Загрузчик прячет две зашифрованные полезные нагрузки в своей ресурсной секции, распаковывает их и размещает в случайных путях, включая %temp%. Для уклонения от анализа он использует обфускацию, проверку среды, зашифрованную коммуникацию с C2-сервером и другие уловки.
Опасность мошеннической атаки заключается в том, что у атакующего появляется и долговременный доступ к устройству через Gh0st RAT, и возможность быстро заработать на жертве.
Что делает Gh0st RAT
Gh0st RAT — это не просто вредонос, а полноценный инструмент удалённого администрирования для злоумышленников. Его опасность заключается в том, что он даёт широкий контроль над заражённым компьютером:
- удалённое выполнение команд,
- кража файлов,
- контроль над устройством пользователя,
- сбор учётных данных,
- скрытое наблюдение,
- использование заражённой машины для другой вредоносной активности.
В рамках обнаруженной мошеннической кампании троян Gh0st RAT запускался через rundll32.exe, а для закрепления использовал несколько техник реестра и службы Windows, включая запуск через ключи Run и регистрацию вредоносной DLL.
Чтобы скрыть своё присутствие, троян проверяет запросы к антивирусным библиотекам Alyac, Ahnlab и V3lite, затем выборочно возвращает ответы DNS или ошибки, блокируя доступ к инструментам безопасности и серверам обновлений.
Что делает CloverPlus
CloverPlus здесь выступает как рекламное ПО:
- меняет поведение браузера,
- может подменять стартовые страницы,
- отображает навязчивую рекламу.
В связке с RAT он помогает монетизировать компрометацию сразу после заражения.
Кто под угрозой
Кампания может быть направлена на:
- обычных пользователей,
- компании малого и среднего бизнеса,
- госорганизации,
- отрасли, где важны данные и доступ к внутренним системам.
Цель — не просто «сломать» компьютер, а получить длительный скрытый доступ.
Признаки этой кампании включают необычный запуск rundll32.exe, исполнение из %temp%, изменения в реестре для автозапуска, а также сетевую активность, похожую на DNS-подмену или связь с C2-инфраструктурой.
При наличии нескольких уровней обнаружения, основанных на поведении, у организаций появляется больше шансов нарушить работу как бэкдора Gh0st RAT, так и монетизации рекламного ПО CloverPlus, прежде чем злоумышленники полностью установят контроль.
Похожие статьи по теме: