Вредоносное ПО PLAYFULGHOST
Эксперты по кибербезопасности выявили новую угрозу под названием PLAYFULGHOST — бэкдор, оснащенный широким спектром функций сбора информации. Сюда входят кейлоггинг, захват экрана и звука, удаленный доступ к оболочке и возможности передачи или выполнения файлов.
Оглавление
Связь с Gh0st RAT
PLAYFULGHOST демонстрирует функциональное сходство с Gh0st RAT , известным инструментом удаленного администрирования, который стал широко доступен после утечки его исходного кода в 2008 году. Это говорит о том, что злоумышленники, стоящие за PLAYFULGHOST, могли использовать основу старого инструмента, одновременно внедряя усовершенствования для расширения его возможностей.
Первичные векторы инфекции
Участники атаки, стоящие за PLAYFULGHOST, используют несколько методов для получения первоначального доступа к целевым системам. К ним относятся фишинговые кампании, которые используют темы, связанные с кодексом поведения, и тактики отравления SEO для распространения троянизированных версий легитимных приложений VPN, таких как LetsVPN.
В сценарии фишинговой атаки жертв обманом заставляют открыть поврежденный архив RAR, который маскируется под файл изображения, используя вводящее в заблуждение расширение '.jpg'. При извлечении и запуске архив сбрасывает вредоносный исполняемый файл Windows, который затем извлекает и запускает PLAYFULGHOST с удаленного сервера.
С другой стороны, SEO-отравление используется для того, чтобы заставить ничего не подозревающих пользователей загрузить скомпрометированный установщик LetsVPN. После выполнения этот установщик развертывает промежуточную полезную нагрузку, которая извлекает и активирует основные компоненты бэкдора.
Продвинутые тактики уклонения и исполнения
PLAYFULGHOST использует различные скрытные методы, чтобы ускользнуть от обнаружения и закрепиться на скомпрометированных системах. К ним относятся перехват порядка поиска DLL и сторонняя загрузка DLL для внедрения скомпрометированной DLL, которая затем расшифровывает и внедряет бэкдор в память.
В более сложном методе выполнения исследователи наблюдали использование файла ярлыка Windows ('QQLaunch.lnk'), который объединяет два дополнительных файла ('h' и 't') для генерации вредоносной DLL. Эта DLL загружается через переименованную версию 'curl.exe,' обеспечивая скрытое развертывание бэкдора.
Настойчивость и сбор данных
После установки PLAYFULGHOST устанавливает стойкость в зараженной системе, используя несколько методов. К ним относятся изменение реестра Windows (ключ Run), создание запланированных задач, добавление записей в папку автозагрузки Windows и регистрация в качестве службы Windows.
Возможности бэкдора позволяют ему собирать широкий спектр конфиденциальной информации, включая нажатия клавиш, снимки экрана, аудиозаписи, данные буфера обмена, сведения об установленном программном обеспечении безопасности, системные метаданные и учетные данные QQ. Кроме того, он может выполнять команды для нарушения взаимодействия с пользователем, блокируя ввод с клавиатуры и мыши, вмешиваясь в журналы событий и очищая содержимое буфера обмена.
PLAYFULGHOST также демонстрирует возможности манипуляции файлами, что позволяет ему стирать кэши браузера и профили из таких приложений, как Sogou, QQ, 360 Safety, Firefox и Google Chrome. Он может также удалять профили и локальное хранилище, связанное с платформами обмена сообщениями, такими как Skype, Telegram и QQ.
Развертывание дополнительных инструментов
Наряду с PLAYFULGHOST, злоумышленники были замечены в развертывании дополнительных инструментов для усиления своего контроля над зараженными системами. Среди них Mimikatz , известный инструмент для сброса учетных данных, и руткит, разработанный для сокрытия определенных записей реестра, файлов и процессов. Кроме того, представлена утилита с открытым исходным кодом под названием Terminator для отключения механизмов безопасности с помощью техники Bring Your Own Vulnerable Driver (BYOVD).
По крайней мере в одном случае PLAYFULGHOST был встроен в BOOSTWAVE — дроппер на основе шелл-кода, который упрощает развертывание дополнительных полезных нагрузок Portable Executable (PE).
Возможная целевая демографическая группа
Сосредоточение на таких приложениях, как Sogou, QQ и 360 Safety, в сочетании с использованием LetsVPN в качестве приманки, предполагает, что эта кампания в первую очередь нацелена на китайскоязычных пользователей Windows. Однако расширенные возможности PLAYFULGHOST указывают на более широкий потенциал эксплуатации за пределами этой конкретной демографической группы.
