Gh0stCringe je moćan trojanac za daljinski pristup sa funkcijama keylogger-a.
Hakeri napadaju loše zaštićene Microsoft SQL i MySQL servere kako bi ih inficirali trojancem za daljinski pristup Gh0stCringe, saopštila je bezbednosna kompanija AhnLab.
Gh0stCringe (aka CirenegRAT) je varijanta Gh0st RAT melvera poznatog još od 2018, ali i kada je Kina poslednji put koristila u operacijama sajber špijunaže 2020. godine.
Napadači hakuju servere i koriste procese mysqld.exe, mysqld-nt.exe i sqlserver.exe da ispišu zlonamernu izvršnu datoteku mcsql.exe na disk.
Osim trojanca, istraživači su na kompromitovanim serverima pronašli i drugi melver, što znači da su ih više puta hakovali razni sajber kriminalci.
Gh0stCringe je moćan trojanac koji prima komande od C&C servera i šalje ukradene podatke svojim operaterima.
Tokom procesa implementacije, napadači ga mogu prilagoditi u zavisnosti od toga koje funkcije treba da obavlja.
Komponenta keylogger-a koristi metod Windows Polling (GetAsyncKeyState API) za ispitivanje stanja svakog ključa kroz beskrajnu petlju.
Ovaj metod stvara sumnjivo veliko opterećenje CPU-a, ali u slučaju loše konfigurisanih i štićenih servera to ne stvara nikakve probleme za hakere.
Melver takođe prati pritiske tastera na tastaturi u poslednja tri minuta i šalje ove podatke, zajedno sa osnovnim informacijama o mreži i OS, na C&C server. Ovo omogućava napadačima da ukradu akreditive i druge osetljive informacije koje je korisnik uneo pomoću tastature.
Napišite komentar