PLAYFULGHOST Malware

சைபர் பாதுகாப்பு வல்லுநர்கள், PLAYFULGHOST என அழைக்கப்படும் புதிதாக உருவாகி வரும் அச்சுறுத்தலை அடையாளம் கண்டுள்ளனர், இது தகவல் அறுவடை செயல்பாடுகளின் பரந்த ஸ்பெக்ட்ரம் கொண்ட பின்கதவு ஆகும். கீலாக்கிங், ஸ்கிரீன் மற்றும் ஆடியோ கேப்சர், ரிமோட் ஷெல் அணுகல் மற்றும் கோப்பு பரிமாற்றம் அல்லது செயல்படுத்தும் திறன் ஆகியவை இதில் அடங்கும்.

Gh0st RATக்கான இணைப்பு

PLAYFULGHOST ஆனது Gh0st RAT உடனான செயல்பாட்டு ஒற்றுமையை வெளிப்படுத்துகிறது, இது நன்கு அறியப்பட்ட ரிமோட் நிர்வாகக் கருவியாகும், இது 2008 இல் அதன் மூலக் குறியீடு கசிந்த பிறகு பரவலாகக் கிடைத்தது. PLAYFULGHOST க்கு பின்னால் உள்ள அச்சுறுத்தல் நடிகர்கள், விரிவாக்க மேம்பாடுகளை அறிமுகப்படுத்தும் போது, பழைய கருவியின் அடித்தளத்தை உருவாக்கியிருக்கலாம் என்று இது அறிவுறுத்துகிறது. அதன் திறன்கள்.

ஆரம்ப தொற்று திசையன்கள்

PLAYFULGHOSTக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர்கள் இலக்கு அமைப்புகளுக்கான ஆரம்ப அணுகலைப் பெற பல நுட்பங்களைப் பயன்படுத்துகின்றனர். இவற்றில் ஃபிஷிங் பிரச்சாரங்கள் அடங்கும், அவை நடத்தை நெறிமுறைகள் தொடர்பான தீம்கள் மற்றும் LetsVPN போன்ற முறையான VPN பயன்பாடுகளின் ட்ரோஜனேற்றப்பட்ட பதிப்புகளை விநியோகிக்க SEO நச்சுத் தந்திரங்களை மேம்படுத்துகின்றன.

ஃபிஷிங் தாக்குதல் சூழ்நிலையில், பாதிக்கப்பட்டவர்கள் தவறாக வழிநடத்தும் '.jpg' நீட்டிப்பைப் பயன்படுத்தி ஒரு படக் கோப்பாக மறைக்கப்பட்ட சிதைந்த RAR காப்பகத்தைத் திறக்க ஏமாற்றப்படுகிறார்கள். பிரித்தெடுக்கப்பட்டு செயல்படுத்தப்படும் போது, காப்பகம் ஒரு தீங்கிழைக்கும் விண்டோஸ் இயங்கக்கூடியதைக் கைவிடுகிறது, இது தொலைநிலை சேவையகத்திலிருந்து பிளேஃபுல்கோஸ்டை மீட்டெடுக்கிறது.

மறுபுறம், SEO நச்சுத்தன்மையானது, சமரசம் செய்யப்பட்ட LetsVPN நிறுவியைப் பதிவிறக்குவதற்கு சந்தேகத்திற்கு இடமில்லாத பயனர்களை ஈர்க்கப் பயன்படுகிறது. செயல்படுத்தப்பட்டவுடன், இந்த நிறுவி ஒரு இடைநிலை பேலோடைப் பயன்படுத்துகிறது, இது பின்கதவின் முக்கிய கூறுகளைப் பெற்று செயல்படுத்துகிறது.

மேம்பட்ட ஏய்ப்பு மற்றும் செயல்படுத்தும் தந்திரங்கள்

PLAYFULGHOST கண்டறிதலில் இருந்து தப்பி ஓட மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளில் காலூன்ற பல்வேறு திருட்டு நுட்பங்களை நம்பியுள்ளது. சமரசம் செய்யப்பட்ட DLL ஐ அறிமுகப்படுத்த டிஎல்எல் தேடல் ஆர்டர் ஹைஜாக்கிங் மற்றும் DLL பக்க ஏற்றுதல் ஆகியவை இதில் அடங்கும், இது பின்கதவை நினைவகத்தில் மறைகுறியாக்கி உட்செலுத்துகிறது.

மிகவும் விரிவான செயலாக்க முறையில், ஒரு முரட்டு DLL ஐ உருவாக்க இரண்டு கூடுதல் கோப்புகளை ('h' மற்றும் 't') இணைக்கும் Windows ஷார்ட்கட் கோப்பின் ('QQLaunch.lnk') பயன்பாட்டை ஆராய்ச்சியாளர்கள் கவனித்தனர். இந்த DLL ஆனது 'curl.exe' இன் மறுபெயரிடப்பட்ட பதிப்பின் மூலம் ஓரங்கட்டப்பட்டது, இது பின்கதவின் மறைவான வரிசைப்படுத்தலை உறுதி செய்கிறது.

நிலைத்தன்மை மற்றும் தரவு சேகரிப்பு

நிறுவப்பட்டதும், PLAYFULGHOST பல நுட்பங்களைப் பயன்படுத்தி பாதிக்கப்பட்ட கணினியில் நிலைத்தன்மையை நிறுவுகிறது. விண்டோஸ் ரெஜிஸ்ட்ரியை (ரன் கீ) மாற்றியமைத்தல், திட்டமிடப்பட்ட பணிகளை உருவாக்குதல், விண்டோஸ் ஸ்டார்ட்அப் கோப்புறையில் உள்ளீடுகளைச் சேர்த்தல் மற்றும் விண்டோஸ் சேவையாகப் பதிவு செய்தல் ஆகியவை இதில் அடங்கும்.

கீஸ்ட்ரோக்குகள், ஸ்கிரீன்ஷாட்கள், ஆடியோ பதிவுகள், கிளிப்போர்டு தரவு, நிறுவப்பட்ட பாதுகாப்பு மென்பொருளின் விவரங்கள், கணினி மெட்டாடேட்டா மற்றும் QQ கணக்கு நற்சான்றிதழ்கள் உள்ளிட்ட பல முக்கியமான தகவல்களைச் சேகரிக்க பின்கதவின் திறன்கள் அனுமதிக்கின்றன. கூடுதலாக, விசைப்பலகை மற்றும் மவுஸ் உள்ளீடுகளைத் தடுப்பதன் மூலமும், நிகழ்வு பதிவுகளை சேதப்படுத்துவதன் மூலமும், கிளிப்போர்டு உள்ளடக்கத்தை அழிப்பதன் மூலமும் பயனர் தொடர்புகளை சீர்குலைக்கும் கட்டளைகளை இது செயல்படுத்தலாம்.

PLAYFULGHOST கோப்பு கையாளுதல் திறன்களை வெளிப்படுத்துகிறது, Sogou, QQ, 360 பாதுகாப்பு, Firefox மற்றும் Google Chrome போன்ற பயன்பாடுகளிலிருந்து உலாவி தற்காலிக சேமிப்புகள் மற்றும் சுயவிவரங்களை அழிக்க உதவுகிறது. இது ஸ்கைப், டெலிகிராம் மற்றும் QQ போன்ற செய்தியிடல் தளங்களுடன் தொடர்புடைய சுயவிவரங்கள் மற்றும் உள்ளூர் சேமிப்பகத்தை மேலும் அகற்றலாம்.

கூடுதல் கருவிகளின் வரிசைப்படுத்தல்

PLAYFULGHOST உடன், அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்ட அமைப்புகளின் மீது தங்கள் கட்டுப்பாட்டை வலுப்படுத்த துணை கருவிகளை பயன்படுத்துவதை அவதானித்தனர். இவற்றில் Mimikatz , நன்கு அறியப்பட்ட நற்சான்றிதழ்-டம்ப்பிங் கருவி மற்றும் குறிப்பிட்ட பதிவேட்டில் உள்ளீடுகள், கோப்புகள் மற்றும் செயல்முறைகளை மறைக்க வடிவமைக்கப்பட்ட ரூட்கிட் ஆகியவை அடங்கும். கூடுதலாக, உங்கள் சொந்த பாதிக்கப்படக்கூடிய இயக்கி (BYOVD) நுட்பத்தின் மூலம் பாதுகாப்பு வழிமுறைகளை முடக்க டெர்மினேட்டர் எனப்படும் திறந்த மூல பயன்பாடு அறிமுகப்படுத்தப்பட்டது.

குறைந்தபட்சம் ஒரு நிகழ்விலாவது, PLAYFULGHOST ஆனது BOOSTWAVEக்குள் உட்பொதிக்கப்பட்டுள்ளது, இது ஷெல்கோட் அடிப்படையிலான நினைவக துளிசொட்டியானது இணைக்கப்பட்ட போர்ட்டபிள் எக்ஸிகியூடபிள் (PE) பேலோடுகளை பயன்படுத்துவதற்கு உதவுகிறது.

ஒரு சாத்தியமான இலக்கு மக்கள்தொகை

Sogou, QQ மற்றும் 360 Safety போன்ற பயன்பாடுகளில் கவனம் செலுத்துவது, LetsVPN ஐ ஒரு கவர்ச்சியாகப் பயன்படுத்துவதால், இந்த பிரச்சாரம் முதன்மையாக சீன மொழி பேசும் விண்டோஸ் பயனர்களை இலக்காகக் கொண்டுள்ளது என்று தெரிவிக்கிறது. இருப்பினும், PLAYFULGHOST இன் மேம்பட்ட திறன்கள் இந்த குறிப்பிட்ட மக்கள்தொகைக்கு அப்பாற்பட்ட சுரண்டலுக்கான பரந்த திறனைக் குறிக்கிறது.