PLAYFULGHOST Malware
Eksperter på nettsikkerhet har identifisert en nylig fremkommet trussel kalt PLAYFULGHOST, en bakdør utstyrt med et bredt spekter av informasjonsinnhentingsfunksjoner. Dette inkluderer tastelogging, skjerm- og lydopptak, ekstern skalltilgang og filoverføring eller kjøringsmuligheter.
Innholdsfortegnelse
En tilkobling til Gh0st RAT
PLAYFULGHOST viser funksjonelle likheter med Gh0st RAT , et velkjent fjernadministrasjonsverktøy som ble allment tilgjengelig etter at kildekoden ble lekket i 2008. Dette antyder at trusselaktørene bak PLAYFULGHOST kan ha bygget på det eldre verktøyets grunnlag mens de introduserte forbedringer for å utvide dens evner.
Innledende infeksjonsvektorer
Trusselaktørene bak PLAYFULGHOST bruker flere teknikker for å få innledende tilgang til målsystemer. Disse inkluderer phishing-kampanjer som utnytter oppførselskode-relaterte temaer og SEO-forgiftningstaktikker for å distribuere trojaniserte versjoner av legitime VPN-applikasjoner som LetsVPN.
I et phishing-angrepsscenario blir ofre lurt til å åpne et ødelagt RAR-arkiv som gir seg ut som en bildefil ved å bruke en villedende '.jpg'-utvidelse. Når det pakkes ut og kjøres, slipper arkivet en skadelig Windows-kjørbar fil, som deretter henter og starter PLAYFULGHOST fra en ekstern server.
SEO-forgiftning, derimot, brukes til å lokke intetanende brukere til å laste ned et kompromittert LetsVPN-installasjonsprogram. Ved kjøring distribuerer dette installasjonsprogrammet en mellomliggende nyttelast, som henter og aktiverer bakdørens kjernekomponenter.
Avanserte unndragelses- og henrettelsestaktikker
PLAYFULGHOST er avhengig av ulike stealth-teknikker for å løpe vekk fra deteksjon og etablere fotfeste på kompromitterte systemer. Disse inkluderer DLL-søkeordrekapring og DLL-sidelasting for å introdusere en kompromittert DLL, som deretter dekrypterer og injiserer bakdøren i minnet.
I en mer forseggjort utførelsesmetode observerte forskere bruken av en Windows-snarveisfil ('QQLaunch.lnk'), som kombinerer to ekstra filer ('h' og 't') for å generere en falsk DLL. Denne DLL-filen er sidelastet gjennom en omdøpt versjon av 'curl.exe', som sikrer en skjult distribusjon av bakdøren.
Persistens og datainnsamling
Når den er installert, etablerer PLAYFULGHOST utholdenhet på det infiserte systemet ved hjelp av flere teknikker. Disse inkluderer å endre Windows-registeret (Run-nøkkel), lage planlagte oppgaver, legge til oppføringer i Windows Startup-mappen og registrere deg som en Windows-tjeneste.
Bakdørens muligheter gjør at den kan samle inn et bredt spekter av sensitiv informasjon, inkludert tastetrykk, skjermbilder, lydopptak, utklippstavledata, detaljer om installert sikkerhetsprogramvare, systemmetadata og QQ-kontolegitimasjon. I tillegg kan den utføre kommandoer for å forstyrre brukerinteraksjoner ved å blokkere tastatur- og musinnganger, tukle med hendelseslogger og tømme utklippstavleinnhold.
PLAYFULGHOST viser også filmanipuleringsevner, som gjør det mulig å slette nettleserbuffer og profiler fra programmer som Sogou, QQ, 360 Safety, Firefox og Google Chrome. Den kan ytterligere fjerne profiler og lokal lagring knyttet til meldingsplattformer som Skype, Telegram og QQ.
Utrulling av tilleggsverktøy
Ved siden av PLAYFULGHOST har trusselaktører blitt observert som distribuerer tilleggsverktøy for å styrke sin kontroll over infiserte systemer. Blant disse er Mimikatz , et velkjent verktøy for dumping av legitimasjon, og et rootkit designet for å skjule spesifikke registeroppføringer, filer og prosesser. I tillegg introduseres et åpen kildekode-verktøy kalt Terminator for å deaktivere sikkerhetsmekanismer gjennom en Bring Your Own Vulnerable Driver (BYOVD)-teknikk.
I minst ett tilfelle har PLAYFULGHOST blitt innebygd i BOOSTWAVE, en shellcode-basert in-memory dropper som forenkler distribusjonen av vedlagte Portable Executable (PE) nyttelaster.
En mulig måldemografi
Fokuset på applikasjoner som Sogou, QQ og 360 Safety, kombinert med bruken av LetsVPN som lokkemiddel, antyder at denne kampanjen først og fremst retter seg mot kinesisktalende Windows-brukere. Imidlertid indikerer PLAYFULGHOSTs avanserte evner et bredere potensial for utnyttelse utover denne spesifikke demografien.
