بدافزار PLAYFULGHOST

کارشناسان امنیت سایبری تهدیدی جدید به نام PLAYFULGHOST را شناسایی کرده اند که یک درب پشتی مجهز به طیف گسترده ای از عملکردهای جمع آوری اطلاعات است. این شامل keylogging، ضبط صفحه و صدا، دسترسی پوسته از راه دور و انتقال یا اجرای فایل است.

اتصال به Gh0st RAT

PLAYFULGHOST شباهت‌های عملکردی با Gh0st RAT دارد، یک ابزار مدیریت راه دور شناخته شده که پس از افشای کد منبع آن در سال 2008 به طور گسترده در دسترس قرار گرفت. این نشان می‌دهد که عوامل تهدید پشت PLAYFULGHOST ممکن است بر اساس ابزار قدیمی‌تر و در عین حال پیشرفت‌هایی را برای گسترش آن ارائه کرده باشند. قابلیت های آن

ناقلین عفونت اولیه

بازیگران تهدید پشت PLAYFULGHOST از تکنیک های متعددی برای دستیابی به دسترسی اولیه به سیستم های هدف استفاده می کنند. اینها شامل کمپین‌های فیشینگ می‌شوند که از مضامین مرتبط با کد رفتار و تاکتیک‌های مسمومیت سئو برای توزیع نسخه‌های تروجان‌شده برنامه‌های VPN قانونی مانند LetsVPN استفاده می‌کنند.

در یک سناریوی حمله فیشینگ، قربانیان فریب داده می‌شوند تا با استفاده از پسوند گمراه‌کننده '.jpg' یک آرشیو RAR خراب را باز کنند که به عنوان یک فایل تصویری ظاهر می‌شود. پس از استخراج و اجرا، بایگانی یک فایل اجرایی مضر ویندوز را حذف می کند، که سپس PLAYFULGHOST را از یک سرور راه دور بازیابی و راه اندازی می کند.

از سوی دیگر، مسمومیت SEO برای فریب دادن کاربران ناآگاه به دانلود نصب کننده LetsVPN به خطر افتاده استفاده می شود. پس از اجرا، این نصب کننده یک بار میانی را مستقر می کند که اجزای اصلی درب پشتی را واکشی و فعال می کند.

تاکتیک های پیشرفته فرار و اعدام

PLAYFULGHOST برای فرار از تشخیص و ایجاد جای پایی بر روی سیستم های در معرض خطر به تکنیک های مخفی کاری مختلف متکی است. اینها شامل ربودن دستور جستجوی DLL و بارگذاری جانبی DLL برای معرفی یک DLL در معرض خطر است که سپس درب پشتی را رمزگشایی و به حافظه تزریق می کند.

در یک روش اجرای دقیق تر، محققان استفاده از یک فایل میانبر ویندوز ('QQLaunch.lnk') را مشاهده کردند که دو فایل اضافی ('h' و 't') را برای ایجاد یک DLL سرکش ترکیب می کند. این DLL از طریق یک نسخه تغییر نام یافته از 'curl.exe' بارگذاری می شود و از استقرار مخفیانه درپشتی اطمینان حاصل می کند.

پایداری و جمع آوری داده ها

پس از نصب، PLAYFULGHOST با استفاده از تکنیک های متعدد، پایداری را در سیستم آلوده ایجاد می کند. اینها شامل تغییر رجیستری ویندوز (کلید اجرا)، ایجاد وظایف برنامه ریزی شده، افزودن ورودی به پوشه راه اندازی ویندوز و ثبت نام به عنوان یک سرویس ویندوز است.

قابلیت‌های درپشتی به آن اجازه می‌دهد تا طیف گسترده‌ای از اطلاعات حساس را جمع‌آوری کند، از جمله ضربه‌های کلید، اسکرین‌شات، ضبط‌های صوتی، داده‌های کلیپ‌بورد، جزئیات نرم‌افزار امنیتی نصب‌شده، ابرداده‌های سیستم و اعتبار حساب QQ. علاوه بر این، می‌تواند با مسدود کردن ورودی‌های صفحه‌کلید و ماوس، دستکاری گزارش‌های رویداد، و پاک کردن محتوای کلیپ‌بورد، دستوراتی را برای برهم زدن تعاملات کاربر اجرا کند.

PLAYFULGHOST همچنین قابلیت های دستکاری فایل را نشان می دهد و به آن امکان می دهد حافظه پنهان مرورگر و نمایه ها را از برنامه هایی مانند Sogou، QQ، 360 Safety، Firefox و Google Chrome پاک کند. همچنین می‌تواند پروفایل‌ها و فضای ذخیره‌سازی محلی مرتبط با پلتفرم‌های پیام‌رسانی مانند اسکایپ، تلگرام و QQ را حذف کند.

استقرار ابزارهای اضافی

در کنار PLAYFULGHOST، عوامل تهدید نیز مشاهده شده اند که ابزارهای تکمیلی را برای تقویت کنترل خود بر سیستم های آلوده به کار می گیرند. از جمله این ابزارها می‌توان به Mimikatz ، ابزاری معروف برای حذف اعتبار، و یک روت کیت طراحی شده برای پنهان کردن ورودی‌ها، فایل‌ها و فرآیندهای رجیستری خاص اشاره کرد. علاوه بر این، یک ابزار منبع باز به نام Terminator برای غیرفعال کردن مکانیسم های امنیتی از طریق تکنیک Bring Your Own Vulnerable Driver (BYOVD) معرفی شده است.

حداقل در یک مورد، PLAYFULGHOST در BOOSTWAVE تعبیه شده است.

جمعیتی هدف احتمالی

تمرکز روی برنامه‌هایی مانند Sogou، QQ و 360 Safety، همراه با استفاده از LetsVPN به عنوان یک فریب، نشان می‌دهد که این کمپین عمدتاً کاربران چینی زبان ویندوز را هدف قرار می‌دهد. با این حال، قابلیت‌های پیشرفته PLAYFULGHOST نشان‌دهنده پتانسیل گسترده‌تری برای بهره‌برداری فراتر از این جمعیت‌شناسی خاص است.