Ponuda s popustom na više licenci
Baza prijetnji Malware PLAYFULGHOST Malware

PLAYFULGHOST Malware

Do Mezo. Malware. godine
Prevedi na:
Hrvatski

Stručnjaci za kibernetičku sigurnost identificirali su novonastalu prijetnju nazvanu PLAYFULGHOST, backdoor opremljen širokim spektrom funkcija prikupljanja informacija. To uključuje keylogging, snimanje zaslona i zvuka, daljinski pristup ljusci i prijenos datoteka ili mogućnosti izvršenja.

Veza s Gh0st RAT-om

PLAYFULGHOST pokazuje funkcionalne sličnosti s Gh0st RAT-om , dobro poznatim alatom za daljinsku administraciju koji je postao široko dostupan nakon što je njegov izvorni kod procurio 2008. To sugerira da su prijetnje koje stoje iza PLAYFULGHOST-a možda gradile na temeljima starijeg alata dok su uvodile poboljšanja za proširenje njegove mogućnosti.

Početni vektori infekcije

Akteri prijetnji koji stoje iza PLAYFULGHOST-a koriste više tehnika za dobivanje početnog pristupa ciljnim sustavima. To uključuje phishing kampanje koje koriste teme povezane s kodeksom ponašanja i taktike trovanja SEO-a za distribuciju trojaniziranih verzija legitimnih VPN aplikacija kao što je LetsVPN.

U scenariju phishing napada, žrtve su prevarene da otvore oštećenu RAR arhivu koja se maskira u slikovnu datoteku koristeći zavaravajuću ekstenziju '.jpg'. Kada se ekstrahira i izvrši, arhiva ispušta štetnu Windows izvršnu datoteku, koja zatim dohvaća i pokreće PLAYFULGHOST s udaljenog poslužitelja.

S druge strane, trovanje SEO-om koristi se za namamljivanje korisnika koji ništa ne sumnjaju da preuzmu kompromitirani instalacijski program LetsVPN. Nakon izvođenja, ovaj instalacijski program postavlja posredničko opterećenje koje dohvaća i aktivira temeljne komponente backdoora.

Napredne taktike izbjegavanja i pogubljenja

PLAYFULGHOST se oslanja na različite tehnike prikrivanja kako bi pobjegao od otkrivanja i uspostavio uporište na ugroženim sustavima. To uključuje otmicu DLL naloga pretraživanja i bočno učitavanje DLL-a kako bi se uveo kompromitirani DLL, koji potom dekriptira i ubacuje stražnja vrata u memoriju.

U razrađenijoj metodi izvršenja, istraživači su uočili korištenje Windows datoteke prečaca ('QQLaunch.lnk'), koja kombinira dvije dodatne datoteke ('h' i 't') za generiranje lažnog DLL-a. Ovaj DLL se učitava sa strane kroz preimenovanu verziju 'curl.exe', osiguravajući prikrivenu implementaciju stražnjih vrata.

Upornost i prikupljanje podataka

Jednom instaliran, PLAYFULGHOST uspostavlja postojanost na zaraženom sustavu koristeći više tehnika. To uključuje izmjenu Windows registra (tipka Run), stvaranje planiranih zadataka, dodavanje unosa u mapu Windows Startup i registraciju kao Windows usluge.

Mogućnosti backdoora omogućuju prikupljanje širokog spektra osjetljivih informacija, uključujući pritiske tipki, snimke zaslona, audio snimke, podatke međuspremnika, pojedinosti instaliranog sigurnosnog softvera, metapodatke sustava i vjerodajnice QQ računa. Dodatno, može izvršavati naredbe za ometanje interakcije korisnika blokiranjem unosa tipkovnice i miša, petljanjem u zapisnike događaja i brisanjem sadržaja međuspremnika.

PLAYFULGHOST također pokazuje mogućnosti manipulacije datotekama, omogućujući mu brisanje predmemorije preglednika i profila iz aplikacija kao što su Sogou, QQ, 360 Safety, Firefox i Google Chrome. Nadalje može ukloniti profile i lokalnu pohranu povezanu s platformama za razmjenu poruka kao što su Skype, Telegram i QQ.

Uvođenje dodatnih alata

Uz PLAYFULGHOST, akteri prijetnji primijećeni su kako koriste dodatne alate za jačanje svoje kontrole nad zaraženim sustavima. Među njima su Mimikatz , dobro poznati alat za izbacivanje vjerodajnica i rootkit dizajniran za prikrivanje određenih unosa u registru, datoteka i procesa. Dodatno, predstavljen je uslužni program otvorenog koda pod nazivom Terminator za onemogućavanje sigurnosnih mehanizama kroz tehniku Bring Your Own Vulnerable Driver (BYOVD).

U najmanje jednom slučaju, PLAYFULGHOST je ugrađen u BOOSTWAVE, kapaljku u memoriji temeljenu na shellcodeu koja olakšava implementaciju dodanih prenosivih izvršnih (PE) korisnih sadržaja.

Moguća ciljna demografija

Fokus na aplikacije kao što su Sogou, QQ i 360 Safety, u kombinaciji s upotrebom LetsVPN-a kao mamca, sugerira da je ova kampanja primarno usmjerena na korisnike Windowsa koji govore kineski. Međutim, napredne mogućnosti PLAYFULGHOST-a ukazuju na širi potencijal za iskorištavanje izvan ove specifične demografske skupine.

U trendu

'Iolo - Vaše računalo je zaraženo s 18 virusa!'...

Krađa identiteta, Spam
Dok pregledavate sumnjive web stranice, mogli biste naići na alarmantnu poruku "iolo - Vaše računalo je zaraženo s 18 virusa!" Ova taktika oponaša legitimna upozorenja tvrtke iolo Technologies kako bi prevarila korisnike da povjeruju da su njihovi uređaji u ozbiljnoj opasnosti. Međutim, tvrdnje su potpuno lažne i ova shema nije povezana s iolom ili njegovom matičnom tvrtkom, RealDefense LLC....

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
25,549
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...