PLAYFULGHOST Зловреден софтуер
Експерти по киберсигурност са идентифицирали нововъзникваща заплаха, наречена PLAYFULGHOST, задна врата, оборудвана с широк спектър от функции за събиране на информация. Това включва keylogging, заснемане на екран и аудио, отдалечен достъп до обвивка и възможности за прехвърляне на файлове или изпълнение.
Съдържание
Връзка с Gh0st RAT
PLAYFULGHOST проявява функционални прилики с Gh0st RAT , добре познат инструмент за отдалечено администриране, който стана широко достъпен след изтичането на изходния му код през 2008 г. Това предполага, че участниците в заплахата зад PLAYFULGHOST може да са изградили върху основата на по-стария инструмент, като същевременно са въвели подобрения за разширяване неговите възможности.
Първоначални вектори на инфекция
Заплахите зад PLAYFULGHOST използват множество техники за получаване на първоначален достъп до целевите системи. Те включват фишинг кампании, които използват теми, свързани с кодекса на поведение, и тактики за отравяне на SEO, за да разпространяват троянизирани версии на легитимни VPN приложения като LetsVPN.
При сценарий на фишинг атака жертвите са подмамени да отворят повреден RAR архив, който се маскира като файл с изображение, като използва подвеждащо разширение „.jpg“. Когато се извлече и изпълни, архивът изхвърля опасен изпълним файл на Windows, който след това извлича и стартира PLAYFULGHOST от отдалечен сървър.
SEO отравянето, от друга страна, се използва за примамване на нищо неподозиращи потребители да изтеглят компрометиран инсталатор на LetsVPN. При изпълнение този инсталатор разгръща междинен полезен товар, който извлича и активира основните компоненти на задната врата.
Разширени тактики за укриване и екзекуция
PLAYFULGHOST разчита на различни стелт техники, за да избегне откриването и да установи опорна точка върху компрометирани системи. Те включват отвличане на реда за търсене на DLL и странично зареждане на DLL за въвеждане на компрометирана DLL, която след това дешифрира и инжектира задната врата в паметта.
При по-сложен метод за изпълнение изследователите наблюдават използването на файл с пряк път на Windows ('QQLaunch.lnk'), който комбинира два допълнителни файла ('h' и 't'), за да генерира фалшив DLL. Този DLL се зарежда отстрани чрез преименувана версия на „curl.exe“, осигурявайки скрито внедряване на задната врата.
Устойчивост и събиране на данни
Веднъж инсталиран, PLAYFULGHOST установява устойчивост на заразената система, като използва множество техники. Те включват модифициране на системния регистър на Windows (ключ Run), създаване на планирани задачи, добавяне на записи към папката за стартиране на Windows и регистриране като услуга на Windows.
Възможностите на задната вратичка му позволяват да събира широк набор от чувствителна информация, включително натискания на клавиши, екранни снимки, аудио записи, данни от клипборда, подробности за инсталиран софтуер за сигурност, системни метаданни и идентификационни данни за QQ акаунт. Освен това той може да изпълнява команди, за да наруши взаимодействието на потребителя чрез блокиране на въвеждане от клавиатурата и мишката, подправяне на регистрационните файлове на събития и изчистване на съдържанието на клипборда.
PLAYFULGHOST също така показва възможности за манипулиране на файлове, което му позволява да изтрива кеш паметта и профилите на браузъра от приложения като Sogou, QQ, 360 Safety, Firefox и Google Chrome. Освен това може да премахва профили и локално хранилище, свързани с платформи за съобщения като Skype, Telegram и QQ.
Внедряване на допълнителни инструменти
Наред с PLAYFULGHOST, участниците в заплахата са наблюдавани да внедряват допълнителни инструменти, за да засилят контрола си върху заразените системи. Сред тях са Mimikatz , добре познат инструмент за дъмпинг на идентификационни данни и руткит, предназначен да скрие конкретни записи в системния регистър, файлове и процеси. Освен това е въведена помощна програма с отворен код, наречена Terminator, за деактивиране на механизмите за сигурност чрез техниката Bring Your Own Vulnerable Driver (BYOVD).
Поне в един случай PLAYFULGHOST е вграден в BOOSTWAVE, базиран на shellcode капкомер в паметта, който улеснява разгръщането на добавени полезни натоварвания на Portable Executable (PE).
Възможна целева демографска група
Фокусът върху приложения като Sogou, QQ и 360 Safety, съчетан с използването на LetsVPN като примамка, предполага, че тази кампания е насочена основно към китайскоговорящите потребители на Windows. Разширените възможности на PLAYFULGHOST обаче показват по-широк потенциал за експлоатация извън тази специфична демографска група.
