PLAYFULGHOST Malware
Стручњаци за сајбер безбедност идентификовали су новонасталу претњу названу ПЛАИФУЛГХОСТ, бацкдоор опремљен широким спектром функција за прикупљање информација. Ово укључује кеилоггинг, снимање екрана и звука, даљински приступ љусци и могућности преноса или извршења датотека.
Преглед садржаја
Веза са Гх0ст РАТ-ом
ПЛАИФУЛГХОСТ показује функционалне сличности са Гх0ст РАТ , добро познатим алатом за даљинску администрацију који је постао широко доступан након што је његов изворни код процурео 2008. Ово сугерише да су актери претњи иза ПЛАИФУЛГХОСТ-а можда изградили основе старије алатке док су уводили побољшања за проширење његове могућности.
Вектори почетних инфекција
Актери претњи иза ПЛАИФУЛГХОСТ-а користе више техника да би добили почетни приступ циљним системима. То укључује пхисхинг кампање које користе теме везане за кодекс понашања и тактике тровања СЕО за дистрибуцију тројанизованих верзија легитимних ВПН апликација као што је ЛетсВПН.
У сценарију пхисхинг напада, жртве су преварене да отворе оштећену РАР архиву која се маскира као сликовну датотеку коришћењем обмањујуће екстензије „.јпг“. Када се екстрахује и изврши, архива испушта штетну Виндовс извршну датотеку, која затим преузима и покреће ПЛАИФУЛГХОСТ са удаљеног сервера.
С друге стране, тровање СЕО-ом се користи да намами несуђене кориснике да преузму компромитовани инсталатер ЛетсВПН. Након извршења, овај инсталатер поставља посредни корисни терет, који преузима и активира основне компоненте бацкдоор-а.
Напредне тактике избегавања и извршења
ПЛАИФУЛГХОСТ се ослања на различите прикривене технике како би побегао од откривања и успоставио упориште на компромитованим системима. То укључује отмицу налога за претрагу ДЛЛ-а и бочно учитавање ДЛЛ-а да би се увео компромитовани ДЛЛ, који затим дешифрује и убацује бацкдоор у меморију.
У сложенијој методи извршења, истраживачи су приметили употребу датотеке пречице за Виндовс („ККЛаунцх.лнк“), која комбинује две додатне датотеке („х“ и „т“) да би се генерисала лажни ДЛЛ. Овај ДЛЛ се учитава са стране преко преименоване верзије 'цурл.еке', обезбеђујући прикривену примену бацкдоор-а.
Постојаност и прикупљање података
Једном инсталиран, ПЛАИФУЛГХОСТ успоставља постојаност на зараженом систему користећи више техника. То укључује измену Виндовс регистратора (кључ за покретање), креирање заказаних задатака, додавање уноса у Виндовс стартуп фолдер и регистрацију као Виндовс услуга.
Могућности бацкдоор-а омогућавају му да прикупи широк спектар осетљивих информација, укључујући притиске на тастере, снимке екрана, аудио снимке, податке међуспремника, детаље инсталираног безбедносног софтвера, системске метаподатке и акредитиве КК налога. Поред тога, може да извршава команде за ометање интеракције корисника блокирањем уноса са тастатуре и миша, мењањем евиденције догађаја и брисањем садржаја међуспремника.
ПЛАИФУЛГХОСТ такође показује могућности манипулације датотекама, омогућавајући му да избрише кеш меморије претраживача и профиле из апликација као што су Согоу, КК, 360 Сафети, Фирефок и Гоогле Цхроме. Може даље да уклања профиле и локалну меморију повезане са платформама за размену порука као што су Скипе, Телеграм и КК.
Примена додатних алата
Поред ПЛАИФУЛГХОСТ-а, примећени су актери претњи који примењују додатне алате како би ојачали своју контролу над зараженим системима. Међу њима су Мимикатз , добро позната алатка за избацивање акредитива и рооткит дизајниран да сакрије специфичне уносе у регистратору, датотеке и процесе. Поред тога, уведен је услужни програм отвореног кода под називом Терминатор за онемогућавање сигурносних механизама кроз технику Бринг Иоур Овн Вулнерабле Дривер (БИОВД).
У најмање једној инстанци, ПЛАИФУЛГХОСТ је уграђен у БООСТВАВЕ, схеллцоде-базирани ин-мемори дроппер који олакшава примену приложених преносивих извршних (ПЕ) корисних оптерећења.
Могућа циљна демографија
Фокус на апликације као што су Согоу, КК и 360 Сафети, у комбинацији са употребом ЛетсВПН-а као мамаца, сугерише да је ова кампања првенствено усмерена на кориснике Виндовс-а који говоре кинески. Међутим, напредне могућности ПЛАИФУЛГХОСТ-а указују на шири потенцијал за експлоатацију изван ове специфичне демографске категорије.
