PLAYFULGHOST-malware
Cybersecurity-experts hebben een nieuwe opkomende dreiging geïdentificeerd, genaamd PLAYFULGHOST, een backdoor die is uitgerust met een breed spectrum aan functies voor het verzamelen van informatie. Dit omvat keylogging, scherm- en audio-opname, externe shell-toegang en bestandsoverdracht of uitvoeringsmogelijkheden.
Inhoudsopgave
Een verbinding met de Gh0st RAT
PLAYFULGHOST vertoont functionele overeenkomsten met de Gh0st RAT , een bekende tool voor beheer op afstand die algemeen beschikbaar werd nadat de broncode in 2008 uitlekte. Dit suggereert dat de dreigingsactoren achter PLAYFULGHOST mogelijk hebben voortgebouwd op de basis van de oudere tool en tegelijkertijd verbeteringen hebben doorgevoerd om de mogelijkheden ervan uit te breiden.
Initiële infectievectoren
De dreigingsactoren achter PLAYFULGHOST gebruiken meerdere technieken om initiële toegang te krijgen tot doelsystemen. Deze omvatten phishingcampagnes die gebruikmaken van gedragscodegerelateerde thema's en SEO-vergiftigingstactieken om trojanversies van legitieme VPN-applicaties zoals LetsVPN te verspreiden.
In een phishingaanvalscenario worden slachtoffers misleid om een beschadigd RAR-archief te openen dat zich voordoet als een afbeeldingsbestand door een misleidende '.jpg'-extensie te gebruiken. Wanneer het archief wordt uitgepakt en uitgevoerd, laat het een schadelijk Windows-uitvoerbaar bestand achter, dat vervolgens PLAYFULGHOST ophaalt en start vanaf een externe server.
SEO-vergiftiging wordt daarentegen gebruikt om nietsvermoedende gebruikers te verleiden een gecompromitteerde LetsVPN-installer te downloaden. Bij uitvoering implementeert deze installer een intermediaire payload, die de kerncomponenten van de backdoor ophaalt en activeert.
Geavanceerde ontwijkings- en uitvoeringstactieken
PLAYFULGHOST vertrouwt op verschillende stealth-technieken om detectie te ontlopen en voet aan de grond te krijgen op gecompromitteerde systemen. Deze omvatten DLL-zoekvolgordekaping en DLL-sideloading om een gecompromitteerde DLL te introduceren, die vervolgens de backdoor decodeert en in het geheugen injecteert.
In een uitgebreidere uitvoeringsmethode observeerden onderzoekers het gebruik van een Windows-snelkoppelingsbestand ('QQLaunch.lnk'), dat twee extra bestanden ('h' en 't') combineert om een rogue DLL te genereren. Deze DLL wordt sideloaded via een hernoemde versie van 'curl.exe', wat zorgt voor een geheime implementatie van de backdoor.
Persistentie en gegevensverzameling
Na installatie zorgt PLAYFULGHOST voor persistentie op het geïnfecteerde systeem met behulp van meerdere technieken. Deze omvatten het wijzigen van het Windows-register (Run-sleutel), het maken van geplande taken, het toevoegen van vermeldingen aan de Windows Startup-map en het registreren als een Windows-service.
De mogelijkheden van de backdoor maken het mogelijk om een breed scala aan gevoelige informatie te verzamelen, waaronder toetsaanslagen, screenshots, audio-opnames, klembordgegevens, details van geïnstalleerde beveiligingssoftware, systeemmetadata en QQ-accountreferenties. Daarnaast kan het opdrachten uitvoeren om gebruikersinteracties te verstoren door toetsenbord- en muisinvoer te blokkeren, te knoeien met gebeurtenislogboeken en klembordinhoud te wissen.
PLAYFULGHOST heeft ook mogelijkheden voor bestandsmanipulatie, waardoor het browsercaches en profielen van applicaties zoals Sogou, QQ, 360 Safety, Firefox en Google Chrome kan wissen. Het kan verder profielen en lokale opslag verwijderen die gekoppeld zijn aan berichtenplatforms zoals Skype, Telegram en QQ.
Implementatie van aanvullende tools
Naast PLAYFULGHOST zijn er ook dreigingsactoren waargenomen die aanvullende tools inzetten om hun controle over geïnfecteerde systemen te versterken. Hieronder vallen Mimikatz , een bekende tool voor het dumpen van inloggegevens, en een rootkit die is ontworpen om specifieke registervermeldingen, bestanden en processen te verbergen. Daarnaast is er een open-source hulpprogramma genaamd Terminator geïntroduceerd om beveiligingsmechanismen uit te schakelen via een Bring Your Own Vulnerable Driver (BYOVD)-techniek.
In ten minste één geval is PLAYFULGHOST ingebed in BOOSTWAVE, een shellcode-gebaseerde in-memory dropper die de implementatie van toegevoegde Portable Executable (PE) payloads vergemakkelijkt.
Een mogelijke doelgroep
De focus op applicaties zoals Sogou, QQ en 360 Safety, gecombineerd met het gebruik van LetsVPN als lokkertje, suggereert dat deze campagne primair gericht is op Chinees sprekende Windows-gebruikers. De geavanceerde mogelijkheden van PLAYFULGHOST geven echter een breder potentieel voor exploitatie aan dan deze specifieke demografie.
