PLAYFULGHOST Malware

সাইবারসিকিউরিটি বিশেষজ্ঞরা PLAYFULGHOST নামে একটি নতুন উদীয়মান হুমকি চিহ্নিত করেছেন, যা তথ্য সংগ্রহের ফাংশনগুলির বিস্তৃত বর্ণালী দিয়ে সজ্জিত একটি ব্যাকডোর৷ এর মধ্যে কী-লগিং, স্ক্রিন এবং অডিও ক্যাপচার, রিমোট শেল অ্যাক্সেস এবং ফাইল স্থানান্তর বা কার্যকর করার ক্ষমতা রয়েছে।

Gh0st RAT-এর সাথে একটি সংযোগ

PLAYFULGHOST Gh0st RAT-এর সাথে কার্যকরী সাদৃশ্য প্রদর্শন করে, একটি সুপরিচিত রিমোট অ্যাডমিনিস্ট্রেশন টুল যা 2008 সালে এর সোর্স কোড ফাঁস হওয়ার পর ব্যাপকভাবে উপলভ্য হয়। এটি পরামর্শ দেয় যে প্লেফুলঘোস্টের পিছনের হুমকি অভিনেতারা পুরানো টুলের ভিত্তির উপর ভিত্তি করে তৈরি করতে পারে যখন বর্ধিতকরণ এবং এক্সপেরিমেন্ট প্রবর্তন করে। এর ক্ষমতা।

প্রাথমিক সংক্রমণ ভেক্টর

PLAYFULGHOST এর পিছনে হুমকি অভিনেতারা লক্ষ্য সিস্টেমে প্রাথমিক অ্যাক্সেস পেতে একাধিক কৌশল নিয়োগ করে। এর মধ্যে ফিশিং প্রচারাভিযানগুলি অন্তর্ভুক্ত রয়েছে যেগুলি কোড-অফ-কন্ডাক্ট-সম্পর্কিত থিমগুলি এবং এসইও বিষাক্ত কৌশলগুলিকে বৈধ VPN অ্যাপ্লিকেশনগুলির ট্রোজানাইজড সংস্করণ যেমন LetsVPN বিতরণ করার জন্য ব্যবহার করে।

একটি ফিশিং আক্রমণের পরিস্থিতিতে, ক্ষতিগ্রস্তদের একটি বিভ্রান্তিকর '.jpg' এক্সটেনশন ব্যবহার করে একটি বিভ্রান্তিকর RAR সংরক্ষণাগার খোলার জন্য প্রতারিত করা হয় যা একটি চিত্র ফাইল হিসাবে মাস্করেড করে৷ এক্সট্র্যাক্ট এবং এক্সিকিউট করা হলে, আর্কাইভ একটি ক্ষতিকারক উইন্ডোজ এক্সিকিউটেবল ড্রপ করে, যা পরে রিমোট সার্ভার থেকে PLAYFULGHOST পুনরুদ্ধার করে এবং চালু করে।

অন্যদিকে, এসইও বিষাক্ততা, একটি আপোসকৃত LetsVPN ইনস্টলার ডাউনলোড করার জন্য সন্দেহাতীত ব্যবহারকারীদের প্রলুব্ধ করতে ব্যবহৃত হয়। কার্যকর করার পরে, এই ইনস্টলারটি একটি মধ্যস্থতাকারী পেলোড স্থাপন করে, যা ব্যাকডোরের মূল উপাদানগুলি আনয়ন এবং সক্রিয় করে।

অ্যাডভান্সড ইভাসন এবং এক্সিকিউশন ট্যাকটিকস

PLAYFULGHOST সনাক্তকরণ থেকে পালাতে এবং আপোসকৃত সিস্টেমে পা রাখার জন্য বিভিন্ন স্টিলথ কৌশলের উপর নির্ভর করে। এর মধ্যে রয়েছে DLL সার্চ অর্ডার হাইজ্যাকিং এবং DLL সাইডলোডিং একটি আপস করা DLL প্রবর্তন করার জন্য, যা পরে ডিক্রিপ্ট করে এবং মেমরিতে ব্যাকডোর ইনজেক্ট করে।

আরও বিস্তৃত এক্সিকিউশন পদ্ধতিতে, গবেষকরা একটি উইন্ডোজ শর্টকাট ফাইল ('QQLaunch.lnk') ব্যবহার পর্যবেক্ষণ করেছেন, যা একটি দুর্বৃত্ত DLL তৈরি করতে দুটি অতিরিক্ত ফাইল ('h' এবং 't') একত্রিত করে। এই DLL 'curl.exe'-এর একটি পুনঃনামকৃত সংস্করণের মাধ্যমে সাইডলোড করা হয়েছে, যা পিছনের দরজার গোপন স্থাপনা নিশ্চিত করে।

অধ্যবসায় এবং তথ্য সংগ্রহ

একবার ইনস্টল হয়ে গেলে, প্লেফুলগোস্ট একাধিক কৌশল ব্যবহার করে সংক্রামিত সিস্টেমে অধ্যবসায় স্থাপন করে। এর মধ্যে রয়েছে উইন্ডোজ রেজিস্ট্রি (রান কী) পরিবর্তন করা, নির্ধারিত কাজ তৈরি করা, উইন্ডোজ স্টার্টআপ ফোল্ডারে এন্ট্রি যোগ করা এবং উইন্ডোজ পরিষেবা হিসাবে নিবন্ধন করা।

ব্যাকডোরের ক্ষমতাগুলি এটিকে কীস্ট্রোক, স্ক্রিনশট, অডিও রেকর্ডিং, ক্লিপবোর্ড ডেটা, ইনস্টল করা নিরাপত্তা সফ্টওয়্যারের বিবরণ, সিস্টেম মেটাডেটা এবং QQ অ্যাকাউন্টের শংসাপত্র সহ বিস্তৃত সংবেদনশীল তথ্য সংগ্রহ করতে দেয়৷ উপরন্তু, এটি কীবোর্ড এবং মাউস ইনপুটগুলিকে ব্লক করে, ইভেন্ট লগের সাথে টেম্পারিং এবং ক্লিপবোর্ডের বিষয়বস্তু সাফ করে ব্যবহারকারীর মিথস্ক্রিয়া ব্যাহত করার জন্য কমান্ডগুলি চালাতে পারে।

PLAYFULGHOST ফাইল ম্যানিপুলেশন ক্ষমতাও প্রদর্শন করে, এটিকে Sogou, QQ, 360 Safety, Firefox এবং Google Chrome এর মতো অ্যাপ্লিকেশনগুলি থেকে ব্রাউজার ক্যাশে এবং প্রোফাইলগুলি মুছে ফেলতে সক্ষম করে৷ এটি স্কাইপ, টেলিগ্রাম এবং কিউকিউ এর মতো মেসেজিং প্ল্যাটফর্মের সাথে সম্পর্কিত প্রোফাইল এবং স্থানীয় স্টোরেজগুলিকে আরও সরাতে পারে।

অতিরিক্ত সরঞ্জাম স্থাপন

প্লেফুলঘোস্টের পাশাপাশি, হুমকি অভিনেতারা সংক্রামিত সিস্টেমের উপর তাদের নিয়ন্ত্রণ জোরদার করার জন্য সম্পূরক সরঞ্জাম স্থাপন করতে দেখা গেছে। এর মধ্যে রয়েছে Mimikatz , একটি সুপরিচিত শংসাপত্র-ডাম্পিং টুল, এবং একটি রুটকিট যা নির্দিষ্ট রেজিস্ট্রি এন্ট্রি, ফাইল এবং প্রক্রিয়াগুলি গোপন করার জন্য ডিজাইন করা হয়েছে। উপরন্তু, টার্মিনেটর নামে একটি ওপেন-সোর্স ইউটিলিটি চালু করা হয়েছে একটি Bring Your Own Vulnerable Driver (BYOVD) কৌশলের মাধ্যমে নিরাপত্তা ব্যবস্থা নিষ্ক্রিয় করার জন্য।

অন্তত একটি উদাহরণে, PLAYFULGHOST বুস্টওয়েভের মধ্যে এম্বেড করা হয়েছে, একটি শেলকোড-ভিত্তিক ইন-মেমরি ড্রপার যা সংযুক্ত পোর্টেবল এক্সিকিউটেবল (PE) পেলোড স্থাপনের সুবিধা দেয়।

একটি সম্ভাব্য টার্গেট ডেমোগ্রাফিক

Sogou, QQ, এবং 360 Safety-এর মতো অ্যাপ্লিকেশানগুলির উপর ফোকাস, একটি প্রলোভন হিসাবে LetsVPN ব্যবহার করার সাথে মিলিত, পরামর্শ দেয় যে এই প্রচারাভিযানটি মূলত চীনা-ভাষী উইন্ডোজ ব্যবহারকারীদের লক্ষ্য করে। যাইহোক, PLAYFULGHOST-এর উন্নত ক্ষমতা এই নির্দিষ্ট জনসংখ্যার বাইরে শোষণের বিস্তৃত সম্ভাবনা নির্দেশ করে।