PLAYFULGHOST Malware
Os especialistas em segurança cibernética identificaram uma nova ameaça emergente chamada PLAYFULGHOST, um backdoor equipado com um amplo espectro de funções de coleta de informações. Isso inclui keylogging, captura de tela e áudio, acesso remoto a shell e recursos de transferência ou execução de arquivos.
Índice
A Conexão com o Gh0st RAT
O PLAYFULGHOST exibe semelhanças funcionais com o Gh0st RAT, uma ferramenta de administração remota bem conhecida que se tornou amplamente disponível após seu código-fonte ter vazado em 2008. Isso sugere que os agentes de ameaças por trás do PLAYFULGHOST podem ter se aproveitado da fundação da ferramenta mais antiga, ao mesmo tempo em que introduziram melhorias para expandir suas capacidades.
Vetores Iniciais de Infecção
Os agentes de ameaças por trás do PLAYFULGHOST empregam várias técnicas para obter acesso inicial aos sistemas alvo. Isso inclui campanhas de phishing que alavancam temas relacionados a código de conduta e táticas de envenenamento de SEO para distribuir versões trojanizadas de aplicativos VPN legítimos, como LetsVPN.
Em um cenário de ataque de phishing, as vítimas são enganadas para abrir um arquivo RAR corrompido que se disfarça como um arquivo de imagem usando uma extensão enganosa '.jpg'. Quando extraído e executado, o arquivo descarta um executável prejudicial do Windows, que então recupera e inicia o PLAYFULGHOST de um servidor remoto.
O envenenamento de SEO, por outro lado, é usado para atrair usuários desavisados a baixar um instalador comprometido do LetsVPN. Após a execução, esse instalador implanta uma carga intermediária, que busca e ativa os principais componentes do backdoor.
Táticas Avançadas de Evasão e Execução
O PLAYFULGHOST depende de várias técnicas de stealth para fugir da detecção e estabelecer uma posição em sistemas comprometidos. Isso inclui sequestro de ordem de busca de DLL e sideloading de DLL para introduzir uma DLL comprometida, que então descriptografa e injeta o backdoor na memória.
Em um método de execução mais elaborado, os pesquisadores observaram o uso de um arquivo de atalho do Windows ('QQLaunch.lnk'), que combina dois arquivos adicionais ('h' e 't') para gerar uma DLL desonesta. Essa DLL é carregada lateralmente por meio de uma versão renomeada de 'curl.exe', garantindo uma implantação secreta do backdoor.
Persistência e Coleta de Dados
Uma vez instalado, o PLAYFULGHOST estabelece persistência no sistema infectado usando várias técnicas. Elas incluem modificar o registro do Windows (tecla Executar), criar tarefas agendadas, adicionar entradas à pasta Inicialização do Windows e registrar-se como um serviço do Windows.
Os recursos do backdoor permitem que ele colete uma ampla gama de informações confidenciais, incluindo pressionamentos de teclas, capturas de tela, gravações de áudio, dados da área de transferência, detalhes do software de segurança instalado, metadados do sistema e credenciais da conta QQ. Além disso, ele pode executar comandos para interromper as interações do usuário bloqueando entradas de teclado e mouse, adulterando logs de eventos e limpando o conteúdo da área de transferência.
O PLAYFULGHOST também exibe capacidades de manipulação de arquivos, permitindo que ele apague caches e perfis de navegadores de aplicativos como Sogou, QQ, 360 Safety, Firefox e Google Chrome. Ele pode remover ainda mais perfis e armazenamento local associados a plataformas de mensagens como Skype, Telegram e QQ.
Implantação de Ferramentas Adicionais
Junto com o PLAYFULGHOST, agentes de ameaças foram observados implantando ferramentas suplementares para reforçar seu controle sobre sistemas infectados. Entre elas estão o Mimikatz, uma ferramenta de despejo de credenciais bem conhecida, e um rootkit projetado para ocultar entradas de registro, arquivos e processos específicos. Além disso, um utilitário de código aberto chamado Terminator é introduzido para desabilitar mecanismos de segurança por meio de uma técnica Bring Your Own Vulnerable Driver (BYOVD).
Em pelo menos um caso, o PLAYFULGHOST foi incorporado ao BOOSTWAVE, um dropper na memória baseado em shellcode que facilita a implantação de cargas úteis de Portable Executable (PE) anexadas.
Um Possível Público-Alvo Demográfico
O foco em aplicativos como Sogou, QQ e 360 Safety, combinado com o uso do LetsVPN como isca, sugere que esta campanha visa principalmente usuários do Windows que falam chinês. No entanto, os recursos avançados do PLAYFULGHOST indicam um potencial mais amplo para exploração além deste grupo demográfico específico.
