תוכנה זדונית PLAYFULGHOST

מומחי אבטחת סייבר זיהו איום חדש שזכה לכינוי PLAYFULGHOST, דלת אחורית המצוידת במגוון רחב של פונקציות לאיסוף מידע. זה כולל רישום מקשים, לכידת מסך ושמע, גישה מרחוק למעטפת ויכולות העברת קבצים או ביצוע.

חיבור ל-Gh0st RAT

PLAYFULGHOST מציג קווי דמיון פונקציונליים עם Gh0st RAT , כלי ניהול מרחוק ידוע שהפך לזמין נרחב לאחר שקוד המקור שלו הודלף בשנת 2008. זה מצביע על כך ששחקני האיום שמאחורי PLAYFULGHOST בנו על הבסיס של הכלי הישן יותר תוך הצגת שיפורים להרחבה היכולות שלה.

וקטורי זיהום ראשוניים

גורמי האיום מאחורי PLAYFULGHOST משתמשים במספר טכניקות כדי לקבל גישה ראשונית למערכות היעד. אלה כוללים קמפיינים של פישינג הממנפים נושאים הקשורים לקוד התנהגות וטקטיקות הרעלת SEO להפצת גרסאות טרויאניות של יישומי VPN לגיטימיים כגון LetsVPN.

בתרחיש של התקפת דיוג, מרומים קורבנות לפתוח ארכיון RAR פגום שמתחזה לקובץ תמונה באמצעות סיומת '.jpg' מטעה. לאחר חילוץ וביצוע, הארכיון מפיל קובץ הפעלה מזיק של Windows, אשר לאחר מכן מאחזר ומפעיל את PLAYFULGHOST משרת מרוחק.

הרעלת SEO, לעומת זאת, משמשת כדי לפתות משתמשים תמימים להוריד מתקין LetsVPN שנפגע. לאחר ביצוע, מתקין זה פורס מטען מתווך, אשר מביא ומפעיל את רכיבי הליבה של הדלת האחורית.

טקטיקות התחמקות וביצוע מתקדמות

PLAYFULGHOST מסתמך על טכניקות התגנבות שונות כדי לברוח מזיהוי ולבסס דריסת רגל במערכות שנפגעו. אלה כוללים חטיפת סדר חיפוש DLL וטעינת DLL בצד כדי להציג DLL שנפרץ, אשר לאחר מכן מפענח ומחדיר את הדלת האחורית לזיכרון.

בשיטת ביצוע משוכללת יותר, החוקרים הבחינו בשימוש בקובץ קיצור של Windows ('QQLaunch.lnk'), המשלב שני קבצים נוספים ('h' ו-'t') כדי ליצור DLL נוכל. DLL זה מוטען דרך גרסה ששונה את השם של 'curl.exe', מה שמבטיח פריסה סמויה של הדלת האחורית.

התמדה ואיסוף נתונים

לאחר ההתקנה, PLAYFULGHOST מבסס התמדה במערכת הנגועה באמצעות טכניקות מרובות. אלה כוללים שינוי הרישום של Windows (מפתח הפעלה), יצירת משימות מתוזמנות, הוספת ערכים לתיקיית Windows Startup ורישום כשירות Windows.

היכולות של הדלת האחורית מאפשרות לו לאסוף מגוון רחב של מידע רגיש, כולל הקשות, צילומי מסך, הקלטות אודיו, נתוני לוח, פרטים על תוכנת אבטחה מותקנת, מטא נתונים של מערכת ואישורי חשבון QQ. בנוסף, הוא יכול לבצע פקודות כדי לשבש אינטראקציות של משתמשים על ידי חסימת כניסות מקלדת ועכבר, שיבוש ביומני אירועים וניקוי תוכן הלוח.

PLAYFULGHOST גם מציגה יכולות מניפולציה של קבצים, המאפשרות לו למחוק מטמונים ופרופילים של דפדפן מיישומים כמו Sogou, QQ, 360 Safety, Firefox ו-Google Chrome. זה יכול להסיר עוד יותר פרופילים ואחסון מקומי הקשורים לפלטפורמות העברת הודעות כמו Skype, Telegram ו-QQ.

פריסת כלים נוספים

לצד PLAYFULGHOST, נצפו שחקני איומים פורסים כלים משלימים כדי לחזק את השליטה שלהם במערכות נגועות. בין אלה ניתן למצוא את Mimikatz , כלי ידוע להטפת אישורים, ו-Rootkit שנועד להסתיר רשומות, קבצים ותהליכים ספציפיים של רישום. בנוסף, מוצג כלי עזר בקוד פתוח בשם Terminator להשבית מנגנוני אבטחה באמצעות טכניקת Bring Your Own Vulnerable Driver (BYOVD).

לפחות במקרה אחד, PLAYFULGHOST הוטמע בתוך BOOSTWAVE, מטפטפת בתוך זיכרון מבוססת מעטפת המאפשרת את הפריסה של עומסי הפעלה ניידים (PE) מצורפים.

יעד דמוגרפי אפשרי

ההתמקדות ביישומים כמו Sogou, QQ ו-360 Safety, בשילוב עם השימוש ב- LetsVPN כפיתוי, מצביעים על כך שהקמפיין הזה מכוון בעיקר למשתמשי Windows דוברי סינית. עם זאת, היכולות המתקדמות של PLAYFULGHOST מצביעות על פוטנציאל רחב יותר לניצול מעבר לדמוגרפיה הספציפית הזו.