Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso GHOSTFORM RAT

GHOSTFORM RAT

Por Mezo en Software malicioso, Herramientas de administración remota
Traducir a:

GHOSTFORM es un troyano de acceso remoto (RAT) basado en .NET, diseñado para combinar diversas capacidades maliciosas en un único archivo binario ejecutable. El malware ejecuta scripts de PowerShell directamente en la memoria, lo que reduce la probabilidad de detección por las herramientas de seguridad tradicionales. Para evadir aún más los mecanismos de seguridad, utiliza técnicas como formularios de Windows invisibles y temporizadores de ejecución retardada. Debido a su comportamiento sigiloso y sus amplias capacidades, cualquier detección de GHOSTFORM debería desencadenar procedimientos inmediatos de eliminación y respuesta a incidentes.

Cadena de ataque uno: Implementación de malware en varias etapas

La primera cadena de ataque comienza con la entrega de un archivo RAR protegido con contraseña que contiene una aplicación falsa diseñada para parecerse a WinRAR. Al abrir el archivo, la víctima ejecuta un dropper llamado SPLITDROP. Este dropper instala dos componentes de malware adicionales: TWINTASK y TWINTALK.

SPLITDROP solicita inicialmente una contraseña a la víctima para extraer un archivo oculto. Si el archivo ya está presente en el sistema, la ejecución se detiene. De lo contrario, el dropper descifra una carga útil incrustada en segundo plano mientras muestra un mensaje de error engañoso al usuario. El contenido descifrado se almacena en el directorio "C:\ProgramData\PolGuid", tras lo cual se ejecuta un ejecutable legítimo llamado VLC.exe para continuar el ataque.

Una vez ejecutado, VLC.exe carga una biblioteca de vínculos dinámicos maliciosa llamada TWINTASK mediante la instalación de DLL. Este componente espera las instrucciones del atacante y las ejecuta mediante PowerShell. Se utilizan varios comandos específicamente para establecer la persistencia en el sistema e iniciar la siguiente etapa de la vulneración. Como parte de este proceso, un script inicia WingetUI.exe y crea entradas de registro que garantizan que tanto VLC.exe como WingetUI.exe se ejecuten automáticamente al reiniciar el sistema.

TWINTALK y TWINTASK: Ejecución coordinada de comandos

Al ejecutarse WingetUI.exe, se carga otro módulo malicioso conocido como TWINTALK. Este componente se conecta al servidor de comando y control del atacante y recupera instrucciones. TWINTALK trabaja en conjunto con TWINTASK para ejecutar comandos en el equipo comprometido.

TWINTALK admite tres categorías de comandos principales:

  • Ejecución de comandos en el dispositivo infectado
  • Descarga de archivos desde la infraestructura del atacante
  • Carga de archivos desde el sistema comprometido al atacante

Gracias a estas capacidades, los atacantes obtienen un amplio control sobre el entorno infectado.

Cadena de ataque dos: Ejecución directa de GHOSTFORM

La segunda cadena de ataque utiliza el propio GHOSTFORM para realizar todas las funciones gestionadas por los múltiples componentes de la primera cadena. En lugar de implementar varios archivos o depender de la instalación de DLL, esta variante ejecuta comandos de PowerShell directamente en memoria.

Para pasar desapercibido, el malware crea un formulario invisible de Windows que retrasa la ejecución antes de que se ejecute la carga útil. Además, la campaña utiliza Formularios de Google como señuelo de ingeniería social para incitar a las víctimas a iniciar la actividad maliciosa.

Técnicas de evasión y persistencia

GHOSTFORM incorpora múltiples mecanismos diseñados para reducir la detección y mantener el acceso a largo plazo a los sistemas comprometidos. El malware retrasa deliberadamente su actividad generando un formulario de Windows casi invisible que ejecuta un temporizador con un retraso aleatorio antes de continuar su ejecución.

También crea un mutex para garantizar que solo una instancia del malware se ejecute en el sistema y genera un identificador único de bot para rastrear las máquinas infectadas. Los troyanos de acceso remoto de este tipo se utilizan comúnmente para implementar cargas útiles adicionales, robar datos y archivos confidenciales o realizar otras operaciones maliciosas en el entorno de la víctima.

Las capacidades clave comúnmente asociadas con la campaña incluyen:

  • Implementación de cargas útiles de malware adicionales
  • Robo de información y archivos de dispositivos infectados
  • Ejecución remota de comandos a través de PowerShell
  • Persistencia a largo plazo dentro de sistemas comprometidos

Ingeniería social de ClickFix: vector de infección centrado en humanos

La campaña no se basa únicamente en la distribución de malware. También incorpora una técnica de ingeniería social conocida como ClickFix para comprometer los sistemas. Los atacantes crean páginas web falsas y convincentes diseñadas para manipular a los usuarios para que ejecuten comandos maliciosos.

Algunos ejemplos incluyen invitaciones a reuniones de Cisco Webex falsificadas o formularios web fraudulentos que parecen legítimos. Se indica a las víctimas que ejecuten comandos que descargan y ejecutan malware automáticamente, iniciando así la vulneración sin saberlo.

Combinando malware y engaño

Esta campaña demuestra un enfoque coordinado que combina la implementación de malware técnico con la manipulación psicológica. Los atacantes distribuyen archivos maliciosos camuflados en programas inofensivos similares a utilidades de WinRAR. Al abrirlos, los archivos inyectan componentes de malware ocultos en el sistema operativo.

Una vez instalado, uno de los componentes se ejecuta silenciosamente en segundo plano, comprobando periódicamente el servidor del atacante en busca de instrucciones cifradas y ejecutándolas mediante PowerShell. Paralelamente, los ataques tipo ClickFix se basan en encuestas falsas, invitaciones engañosas a reuniones o formularios en línea fraudulentos para persuadir a los usuarios a ejecutar comandos que desencadenan la descarga de malware.

Al combinar herramientas de malware avanzadas como TWINTASK, TWINTALK y GHOSTFORM con técnicas de ingeniería social cuidadosamente diseñadas, los actores de amenazas aumentan significativamente la tasa de éxito de compromiso del sistema y mantienen un control remoto persistente sobre los dispositivos infectados.

Tendencias

Un Método Actualizado Para Bloquear los Virus...

Seguridad informática
Un virus informático es un programa informático que no sólo suena desagradable, pero también es peligroso de tener en su sistema informático, no importa qué tipo de virus es, malware, adware, spyware, etc.. Cuando un nuevo virus informático invade el mundo de la informática en línea, hay menos probabilidad de que el software anti-virus del usuario sea capaz de ser lo suficientemente eficaz para...

Mas Visto

Cargando...