Gh0st RAT und CloverPlus Adware in neuer Malware-Kampagne mit doppeltem Payload

Eine neu identifizierte Malware-Kampagne gibt der Cybersicherheits-Community Anlass zu ernsten Bedenken, da sie gleichzeitig zwei sehr unterschiedliche Bedrohungen liefert.

Angreifer nutzen nun einen einzigen, verschleie Eine neu identifizierte Malware-Kampagne gibt der Cybersicherheits-Community Anlass zu ernsten Bedenken, da sie gleichzeitig zwei sehr unterschiedliche Bedrohungen liefert.

Angreifer nutzen nun einen einzigen, verschleierten Loader, um sowohl Gh0st Remote Access Trojan (RAT) als auch CloverPlus Adware auf dieselbe Zielmaschine zu pushen, wodurch sie sowohl langfristige Systemkontrolle als auch eine sofortige Möglichkeit zur Profitierung aus dem Angriff erhalten. Dieses Paar ist ungewöhnlich, aber strategisch.

Gh0st RAT ist ein bekanntes Werkzeug, das Angreifern die vollständige Kontrolle über ein kompromittiertes System gibt, während CloverPlus Adware entwickelt wurde, um das Browserverhalten zu ändern, unerwünschte Werbebestandteile zu installieren und Pop-up-Anzeigen zur finanziellen Bereicherung zu generieren.

Zusammen ermöglichen die beiden Bedrohungen dem Angreifer, einen Hintertürzugang für laufenden Zugriff aufrechtzuerhalten und gleichzeitig die infizierte Maschine in Echtzeit zu monetarisieren. Die Kampagne stellt einen klaren Wandel hin zu Multi-Payload-Lieferstrategien dar, die den Ertrag aus einer einzigen Infektion maximieren.

Forscher des Splunk Threat Research Team (STRT) identifizierten diesen spezifischen Loader, nachdem sie sein Verhalten auf kompromittierten Hosts beobachtet hatten.