Programari maliciós PLAYFULGHOST
Els experts en ciberseguretat han identificat una nova amenaça emergent anomenada PLAYFULGHOST, una porta del darrere equipada amb un ampli espectre de funcions de recollida d'informació. Això inclou el registre de tecles, la captura de pantalla i àudio, l'accés remot a l'intèrpret d'ordres i les capacitats de transferència o execució de fitxers.
Taula de continguts
Una connexió amb el Gh0st RAT
PLAYFULGHOST presenta similituds funcionals amb el Gh0st RAT , una coneguda eina d'administració remota que es va fer àmpliament disponible després de la filtració del seu codi font l'any 2008. Això suggereix que els actors de l'amenaça darrere de PLAYFULGHOST poden haver-se basat en la base de l'eina més antiga mentre introduïen millores per expandir-se. les seves capacitats.
Vectors d’infecció inicial
Els actors d'amenaça darrere de PLAYFULGHOST utilitzen múltiples tècniques per obtenir l'accés inicial als sistemes objectiu. Aquestes inclouen campanyes de pesca que aprofiten temes relacionats amb el codi de conducta i tàctiques d'enverinament de SEO per distribuir versions troianitzades d'aplicacions VPN legítimes com LetsVPN.
En un escenari d'atac de pesca, les víctimes són enganyades perquè obrin un arxiu RAR corrupte que es fa passar com un fitxer d'imatge mitjançant una extensió ".jpg" enganyosa. Quan s'extreu i s'executa, l'arxiu deixa caure un executable de Windows nociu, que després recupera i llança PLAYFULGHOST des d'un servidor remot.
L'enverinament de SEO, d'altra banda, s'utilitza per atraure usuaris desprevinguts perquè baixin un instal·lador de LetsVPN compromès. Un cop s'executa, aquest instal·lador desplega una càrrega útil intermèdia, que recupera i activa els components bàsics de la porta posterior.
Tàctiques avançades d’evasió i execució
PLAYFULGHOST es basa en diverses tècniques de sigil per fugir de la detecció i establir un punt de suport en sistemes compromesos. Aquests inclouen el segrest d'ordres de cerca de DLL i la càrrega lateral de DLL per introduir una DLL compromesa, que després desxifra i injecta la porta posterior a la memòria.
En un mètode d'execució més elaborat, els investigadors van observar l'ús d'un fitxer de drecera de Windows ('QQLaunch.lnk'), que combina dos fitxers addicionals ('h' i 't') per generar una DLL canalla. Aquesta DLL es carrega lateralment mitjançant una versió reanomenada de "curl.exe", que garanteix un desplegament encobert de la porta posterior.
Persistència i recollida de dades
Un cop instal·lat, PLAYFULGHOST estableix la persistència en el sistema infectat mitjançant múltiples tècniques. Aquests inclouen modificar el registre de Windows (clau Executar), crear tasques programades, afegir entrades a la carpeta d'inici de Windows i registrar-se com a servei de Windows.
Les capacitats de la porta del darrere li permeten recopilar una àmplia gamma d'informació sensible, com ara pulsacions de tecles, captures de pantalla, enregistraments d'àudio, dades del porta-retalls, detalls del programari de seguretat instal·lat, metadades del sistema i credencials del compte QQ. A més, pot executar ordres per interrompre les interaccions de l'usuari bloquejant les entrades del teclat i del ratolí, manipulant els registres d'esdeveniments i esborrant el contingut del porta-retalls.
PLAYFULGHOST també mostra capacitats de manipulació de fitxers, que li permeten esborrar la memòria cau i els perfils del navegador d'aplicacions com Sogou, QQ, 360 Safety, Firefox i Google Chrome. Pot eliminar encara més els perfils i l'emmagatzematge local associats a plataformes de missatgeria com Skype, Telegram i QQ.
Desplegament d’eines addicionals
Al costat de PLAYFULGHOST, s'ha observat que actors d'amenaça desplegaven eines addicionals per reforçar el seu control sobre els sistemes infectats. Entre aquests hi ha Mimikatz , una eina coneguda d'abocament de credencials i un rootkit dissenyat per ocultar entrades, fitxers i processos específics del registre. A més, s'introdueix una utilitat de codi obert anomenada Terminator per desactivar els mecanismes de seguretat mitjançant una tècnica Bring Your Own Vulnerable Driver (BYOVD).
En almenys una instància, PLAYFULGHOST s'ha incrustat dins de BOOSTWAVE, un dropper a la memòria basat en shellcode que facilita el desplegament de càrregues útils portàtils executables (PE) adjuntes.
Un possible objectiu demogràfic
El focus en aplicacions com Sogou, QQ i 360 Safety, combinat amb l'ús de LetsVPN com a esquer, suggereix que aquesta campanya s'adreça principalment als usuaris de Windows que parlen xinès. Tanmateix, les capacitats avançades de PLAYFULGHOST indiquen un potencial d'explotació més ampli més enllà d'aquest grup demogràfic específic.
