PLAYFULGHOST Malware
Experții în securitate cibernetică au identificat o nouă amenințare emergentă numită PLAYFULGHOST, o ușă din spate echipată cu un spectru larg de funcții de colectare a informațiilor. Aceasta include înregistrarea tastelor, capturarea ecranului și audio, accesul de la distanță și capacitățile de transfer sau execuție de fișiere.
Cuprins
O conexiune cu Gh0st RAT
PLAYFULGHOST prezintă asemănări funcționale cu Gh0st RAT , un instrument binecunoscut de administrare la distanță care a devenit disponibil pe scară largă după ce codul său sursă a fost scurs în 2008. Acest lucru sugerează că actorii amenințărilor din spatele PLAYFULGHOST s-ar fi putut construi pe baza instrumentului mai vechi, introducând îmbunătățiri pentru a se extinde. capacitățile sale.
Vectorii de infecție inițială
Actorii amenințărilor din spatele PLAYFULGHOST folosesc mai multe tehnici pentru a obține accesul inițial la sistemele țintă. Acestea includ campanii de phishing care folosesc teme legate de codul de conduită și tactici de otrăvire SEO pentru a distribui versiuni troiene ale aplicațiilor VPN legitime, cum ar fi LetsVPN.
Într-un scenariu de atac de tip phishing, victimele sunt păcălite să deschidă o arhivă RAR coruptă care se mascadă ca un fișier imagine, folosind o extensie „.jpg” înșelătoare. Când este extrasă și executată, arhiva elimină un executabil Windows dăunător, care apoi preia și lansează PLAYFULGHOST de pe un server la distanță.
Otrăvirea SEO, pe de altă parte, este folosită pentru a atrage utilizatorii nebănuiți să descarce un program de instalare LetsVPN compromis. La execuție, acest program de instalare implementează o sarcină utilă intermediară, care preia și activează componentele de bază ale ușii din spate.
Tactici avansate de evaziune și execuție
PLAYFULGHOST se bazează pe diverse tehnici de ascundere pentru a fugi de detectare și pentru a stabili un punct de sprijin pe sistemele compromise. Acestea includ deturnarea comenzilor de căutare DLL și încărcarea laterală a DLL pentru a introduce un DLL compromis, care apoi decriptează și injectează ușa din spate în memorie.
Într-o metodă de execuție mai elaborată, cercetătorii au observat utilizarea unui fișier de comandă rapidă Windows („QQLaunch.lnk”), care combină două fișiere suplimentare („h” și „t”) pentru a genera o DLL necinstită. Acest DLL este încărcat lateral printr-o versiune redenumită a „curl.exe”, asigurând o implementare ascunsă a ușii din spate.
Persistența și colectarea datelor
Odată instalat, PLAYFULGHOST stabilește persistența pe sistemul infectat folosind mai multe tehnici. Acestea includ modificarea registrului Windows (cheia Run), crearea de sarcini programate, adăugarea de intrări în folderul Windows Startup și înregistrarea ca serviciu Windows.
Capacitățile backdoor-ului îi permit să colecteze o gamă largă de informații sensibile, inclusiv apăsări de taste, capturi de ecran, înregistrări audio, date din clipboard, detalii despre software-ul de securitate instalat, metadatele sistemului și acreditările contului QQ. În plus, poate executa comenzi pentru a perturba interacțiunile utilizatorului prin blocarea intrărilor de la tastatură și mouse, modificarea jurnalelor de evenimente și ștergerea conținutului clipboard-ului.
PLAYFULGHOST prezintă, de asemenea, capabilități de manipulare a fișierelor, permițându-i să ștergă cache-urile și profilurile browserului din aplicații precum Sogou, QQ, 360 Safety, Firefox și Google Chrome. Poate elimina și mai mult profilurile și stocarea locală asociate cu platformele de mesagerie precum Skype, Telegram și QQ.
Implementarea instrumentelor suplimentare
Alături de PLAYFULGHOST, actorii amenințărilor au fost observați instalând instrumente suplimentare pentru a-și consolida controlul asupra sistemelor infectate. Printre acestea se numără Mimikatz , un instrument binecunoscut de descărcare a acreditărilor și un rootkit conceput pentru a ascunde anumite intrări, fișiere și procese din registru. În plus, este introdus un utilitar open-source numit Terminator pentru a dezactiva mecanismele de securitate printr-o tehnică Bring Your Own Vulnerable Driver (BYOVD).
În cel puțin un caz, PLAYFULGHOST a fost încorporat în BOOSTWAVE, un dropper în memorie bazat pe shellcode care facilitează implementarea încărcăturilor utile Portable Executable (PE) anexate.
O posibilă țintă demografică
Accentul pe aplicații precum Sogou, QQ și 360 Safety, combinat cu utilizarea LetsVPN ca momeală, sugerează că această campanie vizează în primul rând utilizatorii de Windows vorbitori de chineză. Cu toate acestea, capacitățile avansate ale PLAYFULGHOST indică un potențial mai larg de exploatare dincolo de acest demografic specific.
