Malware PLAYFULGHOST
Ekspertët e sigurisë kibernetike kanë identifikuar një kërcënim të saposhfaqur të quajtur PLAYFULGHOST, një derë e pasme e pajisur me një spektër të gjerë funksionesh të grumbullimit të informacionit. Kjo përfshin regjistrimin e tastierëve, regjistrimin e ekranit dhe audios, aksesin në distancë të guaskës dhe transferimin ose ekzekutimin e skedarëve.
Tabela e Përmbajtjes
Një lidhje me Gh0st RAT
PLAYFULGHOST shfaq ngjashmëri funksionale me Gh0st RAT , një mjet i mirënjohur i administrimit në distancë që u bë gjerësisht i disponueshëm pasi kodi i tij burim u zbulua në 2008. Kjo sugjeron që aktorët e kërcënimit pas PLAYFULGHOST mund të kenë ndërtuar mbi themelin e mjetit më të vjetër ndërsa kanë prezantuar përmirësime për t'u zgjeruar aftësitë e tij.
Vektorët fillestarë të infeksionit
Aktorët e kërcënimit pas PLAYFULGHOST përdorin teknika të shumta për të fituar akses fillestar në sistemet e synuara. Këto përfshijnë fushata phishing që përdorin tema të lidhura me kodin e sjelljes dhe taktikat e helmimit të SEO për të shpërndarë versione të trojanizuara të aplikacioneve legjitime VPN si LetsVPN.
Në një skenar sulmi phishing, viktimat mashtrohen për të hapur një arkiv të korruptuar RAR që maskohet si një skedar imazhi duke përdorur një shtesë mashtruese '.jpg'. Kur nxirret dhe ekzekutohet, arkivi hedh një ekzekutues të dëmshëm të Windows, i cili më pas merr dhe lëshon PLAYFULGHOST nga një server në distancë.
Helmimi i SEO, nga ana tjetër, përdoret për të joshur përdoruesit që nuk dyshojnë për të shkarkuar një instalues të komprometuar LetsVPN. Pas ekzekutimit, ky instalues vendos një ngarkesë ndërmjetëse, e cila merr dhe aktivizon komponentët bazë të derës së pasme.
Taktika të avancuara të evazionit dhe ekzekutimit
PLAYFULGHOST mbështetet në teknika të ndryshme vjedhjeje për t'u larguar nga zbulimi dhe për të vendosur një terren në sistemet e komprometuara. Këto përfshijnë rrëmbimin e porosive të kërkimit DLL dhe ngarkimin anësor të DLL për të futur një DLL të komprometuar, e cila më pas deshifron dhe injekton prapambetjen në memorie.
Në një metodë më të përpunuar ekzekutimi, studiuesit vëzhguan përdorimin e një skedari të shkurtoreve të Windows ('QQLaunch.lnk'), i cili kombinon dy skedarë shtesë ('h' dhe 't') për të gjeneruar një DLL mashtruese. Kjo DLL ngarkohet anash përmes një versioni të riemërtuar të 'curl.exe', duke siguruar një vendosje të fshehtë të derës së pasme.
Qëndrueshmëria dhe mbledhja e të dhënave
Pasi të instalohet, PLAYFULGHOST vendos qëndrueshmërinë në sistemin e infektuar duke përdorur teknika të shumta. Këto përfshijnë modifikimin e regjistrit të Windows (çelësi Run), krijimin e detyrave të planifikuara, shtimin e hyrjeve në dosjen e fillimit të Windows dhe regjistrimin si një shërbim Windows.
Aftësitë e derës së pasme e lejojnë atë të mbledhë një gamë të gjerë informacionesh të ndjeshme, duke përfshirë goditjet e tastave, pamjet e ekranit, regjistrimet audio, të dhënat e kujtesës, detajet e softuerit të instaluar të sigurisë, meta të dhënat e sistemit dhe kredencialet e llogarisë QQ. Për më tepër, ai mund të ekzekutojë komanda për të prishur ndërveprimet e përdoruesve duke bllokuar hyrjet e tastierës dhe miut, duke ndërhyrë në regjistrat e ngjarjeve dhe duke pastruar përmbajtjen e kujtesës.
PLAYFULGHOST gjithashtu shfaq aftësi të manipulimit të skedarëve, duke i mundësuar fshirjen e memories dhe profileve të shfletuesit nga aplikacione të tilla si Sogou, QQ, 360 Safety, Firefox dhe Google Chrome. Mund të heqë më tej profilet dhe ruajtjen lokale të lidhur me platformat e mesazheve si Skype, Telegram dhe QQ.
Vendosja e mjeteve shtesë
Krahas PLAYFULGHOST, aktorët e kërcënimit janë vërejtur duke vendosur mjete shtesë për të përforcuar kontrollin e tyre mbi sistemet e infektuara. Midis tyre janë Mimikatz , një mjet i mirënjohur për hedhjen e kredencialeve dhe një rootkit i krijuar për të fshehur shënime, skedarë dhe procese specifike të regjistrit. Për më tepër, një mjet me burim të hapur i quajtur Terminator prezantohet për të çaktivizuar mekanizmat e sigurisë përmes teknikës Bring Your Own Vulnerable Driver (BYOVD).
Në të paktën një rast, PLAYFULGHOST është ngulitur brenda BOOSTWAVE, një pikatore memorie e bazuar në kode guaskë që lehtëson vendosjen e ngarkesave të bashkangjitura të ekzekutueshme portative (PE).
Një objektiv i mundshëm demografik
Fokusi në aplikacione të tilla si Sogou, QQ dhe 360 Safety, i kombinuar me përdorimin e LetsVPN si një joshje, sugjeron që kjo fushatë synon kryesisht përdoruesit e Windows-it që flasin kinezisht. Megjithatë, aftësitë e avancuara të PLAYFULGHOST tregojnë një potencial më të gjerë për shfrytëzim përtej kësaj demografike specifike.
