GhostWeaver

¿Qué es?

GhostWeaver es un malware de tipo troyano de acceso remoto (RAT) con capacidades de backdoor y downloader y arquitectura modular, que se enfoca en infectar dispositivos Windows para obtener acceso remoto persistente y facilitar el robo de su información. Además, proporciona una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Mantiene comunicación persistente con servidores de mando y control (C2) mediante TLS y certificados X.509 autofirmados embebidos y ofuscados para autenticación del cliente.
Genera dominios mediante DGA (algoritmos con semilla fija basada en semana/año) para dificultar su bloqueo por infraestructura.
Descarga y ejecuta módulos (plugins) por comando remoto y amplía sus capacidades de ataque.
Roba credenciales y datos de navegadores, de clientes de correo y de billeteras (wallets) de criptomonedas, entre otros.
Manipula contenido web (form grabbing) y ejecuta inyecciones web y técnicas para interceptar tráfico, que también incluye un enfoque de ataques man in the middle (MITM) y cambios de huellas como JA3.
Posee capacidades para desplegar otros componentes maliciosos como cargas adicionales (se destaca MintsLoader) para mejorar sus capacidades de ataque.
Genera persistencia mediante claves de Registro.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces a sitios web comprometidos y a través del uso de droppers o loaders que inyectan su código malicioso.