GHOSTFORM RAT
GHOSTFORM este un troian de acces la distanță (RAT) bazat pe .NET, conceput pentru a combina mai multe capabilități malițioase într-un singur fișier binar executabil. Malware-ul execută scripturi PowerShell direct în memorie, reducând probabilitatea de detectare de către instrumentele de securitate tradiționale. Pentru a evita mecanismele de securitate, folosește tehnici precum formulare Windows invizibile și temporizatoare de execuție întârziată. Datorită comportamentului său ascuns și a capabilităților extinse, orice detectare a GHOSTFORM ar trebui să declanșeze proceduri imediate de eliminare și răspuns la incidente.
Cuprins
Lanțul de atac unu: Implementarea de programe malware în mai multe etape
Primul lanț de atac începe cu livrarea unei arhive RAR protejate prin parolă, care conține o aplicație falsă, concepută să semene cu WinRAR. Când victima deschide arhiva, se execută un dropper cunoscut sub numele de SPLITDROP. Acest dropper instalează două componente malware suplimentare: TWINTASK și TWINTALK.
SPLITDROP solicită inițial o parolă de la victimă pentru a extrage o arhivă ascunsă. Dacă arhiva este deja prezentă în sistem, execuția se oprește. În caz contrar, dropper-ul decriptează o sarcină utilă încorporată în fundal, afișând în același timp un mesaj de eroare înșelător utilizatorului. Conținutul decriptat este stocat în directorul „C:\ProgramData\PolGuid”, după care este lansat un executabil legitim numit VLC.exe pentru a avansa atacul.
Odată executat, VLC.exe încarcă o bibliotecă de legături dinamice malițioasă numită TWINTASK prin încărcare laterală DLL. Această componentă așteaptă instrucțiuni de la atacator și le execută folosind PowerShell. Mai multe comenzi sunt folosite special pentru a stabili persistența în cadrul sistemului și a iniția următoarea etapă a compromiterii. Ca parte a acestui proces, un script lansează WingetUI.exe și creează intrări de registry care asigură că atât VLC.exe, cât și WingetUI.exe rulează automat de fiecare dată când sistemul repornește.
TWINTALK și TWINTASK: Execuție coordonată a comenzilor
Când WingetUI.exe este executat, acesta încarcă un alt modul malițios, cunoscut sub numele de TWINTALK. Această componentă se conectează la serverul de comandă și control al atacatorului și preia instrucțiuni. TWINTALK lucrează împreună cu TWINTASK pentru a executa comenzi pe mașina compromisă.
TWINTALK acceptă trei categorii principale de comenzi:
- Executarea comenzii pe dispozitivul infectat
- Descărcarea fișierelor din infrastructura atacatorului
- Încărcarea fișierelor din sistemul compromis către atacator
Prin intermediul acestor capabilități, atacatorii obțin un control extins asupra mediului infectat.
Lanțul de atac doi: Execuție directă GHOSTFORM
Al doilea lanț de atac folosește GHOSTFORM în sine pentru a îndeplini toate funcțiile gestionate de mai multe componente din primul lanț. În loc să implementeze mai multe fișiere sau să se bazeze pe încărcarea laterală a DLL-urilor, această variantă execută comenzi PowerShell direct în memorie.
Pentru a rămâne nedetectat, malware-ul creează un formular Windows invizibil care întârzie execuția înainte de rularea sarcinii utile. În plus, campania folosește Google Forms ca parte a unei momeli de inginerie socială pentru a încuraja victimele să inițieze activitatea rău intenționată.
Tehnici de evaziune și persistență
GHOSTFORM încorporează multiple mecanisme concepute pentru a reduce detectarea și a menține accesul pe termen lung la sistemele compromise. Malware-ul își întârzie în mod deliberat activitatea prin generarea unui formular Windows aproape invizibil care rulează un cronometru cu o întârziere determinată aleatoriu înainte de a continua execuția.
De asemenea, creează un mutex pentru a se asigura că o singură instanță a malware-ului rulează pe sistem și generează un identificator unic de bot pentru urmărirea mașinilor infectate. Troienii cu acces la distanță de acest tip sunt utilizați în mod obișnuit pentru a implementa sarcini suplimentare, a fura date și fișiere sensibile sau a efectua alte operațiuni rău intenționate în mediul victimei.
Printre capacitățile cheie asociate în mod obișnuit cu campania se numără:
- Implementarea de sarcini suplimentare de malware
- Furtul de informații și fișiere de pe dispozitivele infectate
- Executarea comenzilor la distanță prin PowerShell
- Persistența pe termen lung în cadrul sistemelor compromise
Inginerie socială ClickFix: Vector de infecție concentrat pe om
Campania nu se bazează exclusiv pe distribuirea de programe malware. De asemenea, încorporează o tehnică de inginerie socială cunoscută sub numele de ClickFix pentru a compromite sistemele. Atacatorii creează pagini web false convingătoare, concepute pentru a manipula utilizatorii să execute comenzi rău intenționate.
Exemplele includ invitații false la întâlniri Cisco Webex sau formulare web frauduloase care par legitime. Victimele sunt instruite să execute comenzi care descarcă și execută automat programe malware, inițiind fără să știe compromiterea.
Combinând programele malware și înșelăciunea
Această campanie demonstrează o abordare coordonată care combină implementarea de programe malware tehnice cu manipularea psihologică. Atacatorii distribuie fișiere rău intenționate deghizate în programe inofensive care seamănă cu utilitarele WinRAR. Când sunt deschise, fișierele injectează componente malware ascunse în sistemul de operare.
Odată instalată, una dintre componente rulează silențios în fundal, verificând periodic serverul atacatorului pentru instrucțiuni criptate și executându-le prin PowerShell. În paralel, atacurile de tip ClickFix se bazează pe sondaje false, invitații înșelătoare la întâlniri sau formulare online frauduloase pentru a convinge utilizatorii să execute comenzi care declanșează descărcări de programe malware.
Prin combinarea instrumentelor avansate de malware, cum ar fi TWINTASK, TWINTALK și GHOSTFORM, cu tehnici de inginerie socială atent elaborate, actorii amenințători cresc semnificativ rata de succes a compromiterii sistemului și mențin controlul persistent de la distanță asupra dispozitivelor infectate.
