Malware PLAYFULGHOST
Gli esperti di sicurezza informatica hanno identificato una nuova minaccia emergente denominata PLAYFULGHOST, una backdoor dotata di un ampio spettro di funzioni di raccolta di informazioni. Ciò include keylogging, cattura di schermate e audio, accesso remoto alla shell e capacità di trasferimento o esecuzione di file.
Sommario
Una connessione con il Gh0st RAT
PLAYFULGHOST mostra somiglianze funzionali con Gh0st RAT , un noto strumento di amministrazione remota che è diventato ampiamente disponibile dopo che il suo codice sorgente è trapelato nel 2008. Ciò suggerisce che gli autori della minaccia dietro PLAYFULGHOST potrebbero aver costruito sulle fondamenta del vecchio strumento, introducendo al contempo miglioramenti per espanderne le capacità.
Vettori di infezione iniziale
Gli autori delle minacce dietro PLAYFULGHOST impiegano molteplici tecniche per ottenere l'accesso iniziale ai sistemi target. Tra queste, campagne di phishing che sfruttano temi correlati al codice di condotta e tattiche di avvelenamento SEO per distribuire versioni trojanizzate di applicazioni VPN legittime come LetsVPN.
In uno scenario di attacco di phishing, le vittime vengono ingannate e indotte ad aprire un archivio RAR corrotto che si maschera da file immagine tramite un'estensione ingannevole '.jpg'. Quando viene estratto ed eseguito, l'archivio rilascia un eseguibile Windows dannoso, che poi recupera e avvia PLAYFULGHOST da un server remoto.
L'avvelenamento SEO, d'altro canto, viene utilizzato per indurre utenti ignari a scaricare un installer LetsVPN compromesso. Una volta eseguito, questo installer distribuisce un payload intermedio, che recupera e attiva i componenti principali della backdoor.
Tattiche avanzate di evasione ed esecuzione
PLAYFULGHOST si affida a varie tecniche stealth per sfuggire al rilevamento e stabilire un punto d'appoggio sui sistemi compromessi. Tra queste rientrano il dirottamento dell'ordine di ricerca DLL e il sideloading DLL per introdurre una DLL compromessa, che poi decifra e inietta la backdoor nella memoria.
In un metodo di esecuzione più elaborato, i ricercatori hanno osservato l'uso di un file di collegamento di Windows ('QQLaunch.lnk'), che combina due file aggiuntivi ('h' e 't') per generare una DLL non autorizzata. Questa DLL viene trasferita tramite una versione rinominata di 'curl.exe', assicurando un'implementazione nascosta della backdoor.
Persistenza e raccolta dati
Una volta installato, PLAYFULGHOST stabilisce la persistenza sul sistema infetto utilizzando tecniche multiple. Queste includono la modifica del registro di Windows (chiave Run), la creazione di attività pianificate, l'aggiunta di voci alla cartella di avvio di Windows e la registrazione come servizio Windows.
Le capacità della backdoor consentono di raccogliere un'ampia gamma di informazioni sensibili, tra cui sequenze di tasti, schermate, registrazioni audio, dati degli appunti, dettagli del software di sicurezza installato, metadati di sistema e credenziali dell'account QQ. Inoltre, può eseguire comandi per interrompere le interazioni dell'utente bloccando gli input di tastiera e mouse, manomettendo i registri degli eventi e cancellando il contenuto degli appunti.
PLAYFULGHOST mostra anche capacità di manipolazione dei file, consentendogli di cancellare le cache del browser e i profili da applicazioni come Sogou, QQ, 360 Safety, Firefox e Google Chrome. Può inoltre rimuovere profili e storage locali associati a piattaforme di messaggistica come Skype, Telegram e QQ.
Distribuzione di strumenti aggiuntivi
Oltre a PLAYFULGHOST, sono stati osservati autori di minacce che distribuiscono strumenti supplementari per rafforzare il loro controllo sui sistemi infetti. Tra questi ci sono Mimikatz , un noto strumento di dumping delle credenziali, e un rootkit progettato per nascondere voci di registro, file e processi specifici. Inoltre, viene introdotta un'utilità open source chiamata Terminator per disabilitare i meccanismi di sicurezza tramite una tecnica Bring Your Own Vulnerable Driver (BYOVD).
In almeno un caso, PLAYFULGHOST è stato incorporato in BOOSTWAVE, un dropper in memoria basato su shellcode che facilita l'implementazione di payload Portable Executable (PE) aggiunti.
Un possibile target demografico
L'attenzione rivolta ad applicazioni come Sogou, QQ e 360 Safety, combinata con l'uso di LetsVPN come esca, suggerisce che questa campagna sia rivolta principalmente agli utenti Windows di lingua cinese. Tuttavia, le capacità avanzate di PLAYFULGHOST indicano un potenziale di sfruttamento più ampio al di là di questa specifica fascia demografica.
