O trojan de acesso remoto conhecido como Gh0st RAT está sendo disseminado através de um “dropper evasivo” chamado Gh0stGambit, como parte de um esquema de download drive-by que tem como alvo usuários de Windows. Essas infecções são originadas de um site falso (“chrome-web[.]com”) que serve pacotes de instalação maliciosos disfarçados como o navegador Chrome do Google, indicando que usuários que buscam o software na web estão sendo especificamente visados.

Gh0st RAT é um malware de longa data, observado em atividade desde 2008, manifestando-se em diferentes variantes ao longo dos anos em campanhas orquestradas principalmente por grupos de ciberespionagem ligados à China. Algumas versões do trojan também foram implantadas anteriormente ao explorar instâncias de servidores MS SQL mal configuradas, usando-as como um canal para instalar o rootkit de código aberto Hidden.

O instalador MSI baixado do site falso contém dois arquivos: um executável de instalação legítimo do Chrome e um instalador malicioso (“WindowsProgram.msi”), sendo este último usado para lançar o shellcode responsável por carregar o Gh0stGambit. O malware também é capaz de implantar o Mimikatz, habilitar RDP nos hosts comprometidos, acessar identificadores de conta associados ao Tencent QQ, limpar logs de eventos do Windows e apagar dados dos navegadores 360 Secure Browser e Sogou Explorer. O Gh0st RAT tem sido amplamente utilizado e modificado por grupos de APT e criminosos nos últimos anos.