Descubren nueva variante del malware Gh0stRAT

27 Marzo 2019
Informativo

El investigador de seguridad James Quinn descubrió una nueva variante del malware Gh0stRAT, que afecta al protocolo de red Server Message Block (SMB), utilizado en Microsoft Windows para compartir archivos e impresoras, entre otros.

Al hacer un reversing al malware, el encabezado de GhostRAT cambia a nbLGX. Quinn también informó que el tráfico que envía utiliza un algoritmo de encriptación dentro del segmento TCP y ocupa la librería zlik para comprimir los datos de Gh0stRAT. Entre sus funcionalidades, la nueva variante puede descargar más malware, registrar las pulsaciones del teclado (keylogger) offline y limpiar los logs de los eventos.

Gh0stRAT es un troyano que ha sido utilizado para robar información sensible de redes de equipos infectados. Actúa como spyware, activando la cámara y las funciones de grabación del computador, pudiendo visualizar monitores y escuchar conversaciones Tiene la capacidad también de operar como un RAT (Remote Administration Tool) para obtener el control total de los equipos. Y engaña a sus víctimas a través de archivos maliciosos, adjuntos en correos electrónicos.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento del phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Configurar de manera más estricta el anti spam.

- Mantener actualizada la suite de MSOffice y los softwares de seguridad.

- Tener activado el UAC (control de cuentas de usuario) de Windows.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Nunca entrar a páginas web de empresas por medio de links.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad y las macro, si un correo electrónico o documento lo solicita.

- Escanear los archivos adjuntos de un correo electrónico, utilizando el antivirus.

- No abrir ningún documento de un remitente desconocido.

El listado de las CVE se adjunta a continuación:


Tags: #gh0strat #malware #spyware #rat #smb #microsoft #windows #nblgx


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.