Um esquema de ciberataque tem mirado especificamente usuários chineses do sistema operacional Windows por meio de um site fraudulento que se passa pela página oficial de download do navegador Google Chrome. O site falso, com o endereço “chrome-web(.)com”, entrega pacotes de instalação contaminados que atraem os usuários com a promessa de obterem o navegador legítimo do Google. Porém, no lugar disso, os desavisados acabam por instalar um trojan de acesso remoto, conhecido como Gh0st RAT, que está em atividade desde 2008 e é famosamente associado a grupos de ciberespionagem ligados à China.
Essa ameaça cibernética foi identificada pela empresa de segurança eSentire, que alertou sobre a sofisticação da estratégia que inclui um “dropper evasivo” Gh0stGambit, utilizado no chamado download “drive-by”. Esse método engana o usuário para que ele faça o download de um instalador malicioso do Chrome, o qual contém arquivos comprometidos que iniciam o shellcode responsável por instalar o Gh0stGambit.
O Gh0st RAT é capaz de executar uma série de ações maliciosas no computador infectado, como o encerramento de processos, remoção de registros, captura de áudio, realização de capturas de tela, execução de comandos remotamente, keylogging e muito mais. Ele também pode apagar evidências de atividades maliciosas, acessar contas ligadas ao Tencent QQ e habilitar o RDP (Remote Desktop Protocol) em máquinas comprometidas, aumentando assim as possibilidades de controle por parte dos atacantes.
Este incidente de segurança coloca em evidência o uso cada vez mais engenhoso de grandes modelos de linguagem (LLMs) na geração de códigos mal-intencionados, incluindo scripts de PowerShell e HTML desenhados para a execução de malwares diversos. A Symantec observou recentemente um incremento em campanhas de phishing que se aproveitam dessas técnicas.
O aumento contínuo deste tipo de ataque reforça a importância de se investir em programas de treinamento e conscientização sobre segurança cibernética, visando a prevenção de incidentes que comprometam a privacidade dos dados e a integridade dos sistemas.
Assine o TecMania e acompanhe as últimas notícias para se manter informado e protegido contra as ameaças na internet.
