PLAYFULGHOST मैलवेयर

साइबर सुरक्षा विशेषज्ञों ने PLAYFULGHOST नामक एक नए उभरते खतरे की पहचान की है, जो सूचना-संग्रहण कार्यों के व्यापक स्पेक्ट्रम से लैस एक बैकडोर है। इसमें कीलॉगिंग, स्क्रीन और ऑडियो कैप्चर, रिमोट शेल एक्सेस और फ़ाइल ट्रांसफ़र या निष्पादन क्षमताएँ शामिल हैं।

घोस्ट रैट से संबंध

PLAYFULGHOST, Gh0st RAT के साथ कार्यात्मक समानता प्रदर्शित करता है, जो एक प्रसिद्ध दूरस्थ प्रशासन उपकरण है, जो 2008 में अपने स्रोत कोड के लीक होने के बाद व्यापक रूप से उपलब्ध हो गया था। इससे पता चलता है कि PLAYFULGHOST के पीछे के खतरे वाले अभिनेताओं ने इसकी क्षमताओं का विस्तार करने के लिए संवर्द्धन पेश करते हुए पुराने उपकरण की नींव पर निर्माण किया हो सकता है।

प्रारंभिक संक्रमण वेक्टर

PLAYFULGHOST के पीछे के ख़तरनाक अभिनेता लक्ष्य प्रणालियों तक प्रारंभिक पहुँच प्राप्त करने के लिए कई तकनीकों का उपयोग करते हैं। इनमें फ़िशिंग अभियान शामिल हैं जो कोड-ऑफ़-कंडक्ट-संबंधित थीम और SEO पॉइज़निंग रणनीति का लाभ उठाते हैं ताकि LetsVPN जैसे वैध VPN अनुप्रयोगों के ट्रोजनाइज़ किए गए संस्करण वितरित किए जा सकें।

फ़िशिंग हमले के परिदृश्य में, पीड़ितों को एक भ्रष्ट RAR संग्रह खोलने के लिए धोखा दिया जाता है जो एक भ्रामक '.jpg' एक्सटेंशन का उपयोग करके एक छवि फ़ाइल के रूप में प्रच्छन्न होता है। जब निकाला और निष्पादित किया जाता है, तो संग्रह एक हानिकारक विंडोज निष्पादन योग्य को छोड़ देता है, जो तब दूरस्थ सर्वर से PLAYFULGHOST को पुनर्प्राप्त और लॉन्च करता है।

दूसरी ओर, SEO पॉइज़निंग का उपयोग अनजान उपयोगकर्ताओं को एक समझौता किए गए LetsVPN इंस्टॉलर को डाउनलोड करने के लिए लुभाने के लिए किया जाता है। निष्पादन पर, यह इंस्टॉलर एक मध्यस्थ पेलोड तैनात करता है, जो बैकडोर के मुख्य घटकों को प्राप्त करता है और सक्रिय करता है।

उन्नत बचाव और निष्पादन रणनीति

PLAYFULGHOST पहचान से बचने और समझौता किए गए सिस्टम पर पैर जमाने के लिए कई तरह की गुप्त तकनीकों पर निर्भर करता है। इनमें समझौता किए गए DLL को पेश करने के लिए DLL सर्च ऑर्डर हाइजैकिंग और DLL साइडलोडिंग शामिल है, जो फिर डिक्रिप्ट करता है और मेमोरी में बैकडोर इंजेक्ट करता है।

एक अधिक विस्तृत निष्पादन विधि में, शोधकर्ताओं ने एक विंडोज़ शॉर्टकट फ़ाइल ('QQLaunch.lnk') के उपयोग को देखा, जो एक दुष्ट DLL उत्पन्न करने के लिए दो अतिरिक्त फ़ाइलों ('h' और 't') को जोड़ती है। इस DLL को 'curl.exe' के नाम बदले गए संस्करण के माध्यम से साइडलोड किया जाता है, जिससे बैकडोर की गुप्त तैनाती सुनिश्चित होती है।

दृढ़ता और डेटा संग्रह

एक बार इंस्टॉल हो जाने के बाद, PLAYFULGHOST कई तकनीकों का उपयोग करके संक्रमित सिस्टम पर दृढ़ता स्थापित करता है। इनमें विंडोज रजिस्ट्री (रन कुंजी) को संशोधित करना, शेड्यूल किए गए कार्य बनाना, विंडोज स्टार्टअप फ़ोल्डर में प्रविष्टियाँ जोड़ना और विंडोज सेवा के रूप में पंजीकरण करना शामिल है।

बैकडोर की क्षमताएं इसे कीस्ट्रोक्स, स्क्रीनशॉट, ऑडियो रिकॉर्डिंग, क्लिपबोर्ड डेटा, इंस्टॉल किए गए सुरक्षा सॉफ़्टवेयर का विवरण, सिस्टम मेटाडेटा और QQ अकाउंट क्रेडेंशियल सहित संवेदनशील जानकारी की एक विस्तृत श्रृंखला एकत्र करने की अनुमति देती हैं। इसके अतिरिक्त, यह कीबोर्ड और माउस इनपुट को अवरुद्ध करके, इवेंट लॉग के साथ छेड़छाड़ करके और क्लिपबोर्ड सामग्री को साफ़ करके उपयोगकर्ता इंटरैक्शन को बाधित करने के लिए कमांड निष्पादित कर सकता है।

PLAYFULGHOST में फ़ाइल हेरफेर क्षमताएँ भी हैं, जो इसे Sogou, QQ, 360 Safety, Firefox और Google Chrome जैसे अनुप्रयोगों से ब्राउज़र कैश और प्रोफ़ाइल मिटाने में सक्षम बनाती हैं। यह Skype, Telegram और QQ जैसे मैसेजिंग प्लेटफ़ॉर्म से जुड़े प्रोफ़ाइल और स्थानीय संग्रहण को भी हटा सकता है।

अतिरिक्त उपकरणों की तैनाती

PLAYFULGHOST के साथ-साथ, खतरे वाले अभिनेताओं को संक्रमित सिस्टम पर अपने नियंत्रण को मजबूत करने के लिए पूरक उपकरण तैनात करते देखा गया है। इनमें से एक प्रसिद्ध क्रेडेंशियल-डंपिंग टूल, मिमिकैट्ज और एक रूटकिट है जिसे विशिष्ट रजिस्ट्री प्रविष्टियों, फ़ाइलों और प्रक्रियाओं को छिपाने के लिए डिज़ाइन किया गया है। इसके अतिरिक्त, टर्मिनेटर नामक एक ओपन-सोर्स उपयोगिता को ब्रिंग योर ओन वल्नरेबल ड्राइवर (BYOVD) तकनीक के माध्यम से सुरक्षा तंत्र को अक्षम करने के लिए पेश किया गया है।

कम से कम एक उदाहरण में, PLAYFULGHOST को BOOSTWAVE के भीतर एम्बेड किया गया है, जो एक शेलकोड-आधारित इन-मेमोरी ड्रॉपर है जो संलग्न पोर्टेबल एक्जीक्यूटेबल (PE) पेलोड की तैनाती की सुविधा प्रदान करता है।

संभावित लक्ष्य जनसांख्यिकी

सोगौ, क्यूक्यू और 360 सेफ्टी जैसे अनुप्रयोगों पर ध्यान केंद्रित करना, साथ ही लेट्सवीपीएन के उपयोग को लुभाने के लिए, यह सुझाव देता है कि यह अभियान मुख्य रूप से चीनी-भाषी विंडोज उपयोगकर्ताओं को लक्षित करता है। हालाँकि, PLAYFULGHOST की उन्नत क्षमताएँ इस विशिष्ट जनसांख्यिकीय से परे शोषण की व्यापक क्षमता का संकेत देती हैं।