PLAYFULGHOST Malware

సైబర్‌ సెక్యూరిటీ నిపుణులు ప్లేఫుల్‌ఘోస్ట్‌గా పిలువబడే కొత్తగా ఉద్భవిస్తున్న ముప్పును గుర్తించారు, ఈ బ్యాక్‌డోర్ విస్తృత వర్ణపట సమాచార-కోత విధులను కలిగి ఉంది. ఇందులో కీలాగింగ్, స్క్రీన్ మరియు ఆడియో క్యాప్చర్, రిమోట్ షెల్ యాక్సెస్ మరియు ఫైల్ ట్రాన్స్‌ఫర్ లేదా ఎగ్జిక్యూషన్ సామర్థ్యాలు ఉంటాయి.

Gh0st RATకి ఒక కనెక్షన్

PLAYFULGHOST 2008లో దాని సోర్స్ కోడ్ లీక్ అయిన తర్వాత విస్తృతంగా అందుబాటులోకి వచ్చిన సుప్రసిద్ధ రిమోట్ అడ్మినిస్ట్రేషన్ టూల్ అయిన Gh0st RAT తో ఫంక్షనల్ సారూప్యతలను ప్రదర్శిస్తుంది. PLAYFULGHOST వెనుక ఉన్న ముప్పు నటులు విస్తరింపజేయడానికి మెరుగుదలలను పరిచయం చేస్తున్నప్పుడు పాత సాధనం యొక్క పునాదిపై నిర్మించబడి ఉండవచ్చని ఇది సూచిస్తుంది. దాని సామర్థ్యాలు.

ప్రారంభ ఇన్ఫెక్షన్ వెక్టర్స్

PLAYFULGHOST వెనుక ఉన్న ముప్పు నటులు లక్ష్య వ్యవస్థలకు ప్రారంభ ప్రాప్యతను పొందడానికి బహుళ సాంకేతికతలను ఉపయోగిస్తారు. వీటిలో లెట్స్‌విపిఎన్ వంటి చట్టబద్ధమైన VPN అప్లికేషన్‌ల యొక్క ట్రోజనైజ్డ్ వెర్షన్‌లను పంపిణీ చేయడానికి కోడ్-ఆఫ్-కండక్ట్-సంబంధిత థీమ్‌లు మరియు SEO విషపూరిత వ్యూహాలను ప్రభావితం చేసే ఫిషింగ్ ప్రచారాలు ఉన్నాయి.

ఫిషింగ్ దాడి దృష్టాంతంలో, తప్పుదారి పట్టించే '.jpg' పొడిగింపును ఉపయోగించి చిత్ర ఫైల్‌గా మాస్క్వెరేడ్ చేయబడిన పాడైన RAR ఆర్కైవ్‌ను తెరవడానికి బాధితులు మోసగించబడ్డారు. సంగ్రహించబడినప్పుడు మరియు అమలు చేయబడినప్పుడు, ఆర్కైవ్ హానికరమైన విండోస్ ఎక్జిక్యూటబుల్‌ను వదిలివేస్తుంది, అది రిమోట్ సర్వర్ నుండి ప్లేఫుల్‌ఘోస్ట్‌ను తిరిగి పొందుతుంది మరియు ప్రారంభిస్తుంది.

SEO విషప్రయోగం, మరోవైపు, రాజీపడిన LetsVPN ఇన్‌స్టాలర్‌ను డౌన్‌లోడ్ చేయడానికి సందేహించని వినియోగదారులను ఆకర్షించడానికి ఉపయోగించబడుతుంది. అమలు చేయబడిన తర్వాత, ఈ ఇన్‌స్టాలర్ ఒక మధ్యవర్తి పేలోడ్‌ను అమలు చేస్తుంది, ఇది బ్యాక్‌డోర్ యొక్క ప్రధాన భాగాలను పొందుతుంది మరియు సక్రియం చేస్తుంది.

అధునాతన ఎగవేత మరియు అమలు వ్యూహాలు

ప్లేఫుల్‌ఘోస్ట్ డిటెక్షన్ నుండి తప్పించుకోవడానికి మరియు రాజీపడిన సిస్టమ్‌లపై పట్టు సాధించడానికి వివిధ స్టెల్త్ టెక్నిక్‌లపై ఆధారపడుతుంది. వీటిలో DLL సెర్చ్ ఆర్డర్ హైజాకింగ్ మరియు రాజీపడిన DLLని పరిచయం చేయడానికి DLL సైడ్‌లోడింగ్ ఉన్నాయి, ఇది బ్యాక్‌డోర్‌ను మెమరీలోకి డీక్రిప్ట్ చేస్తుంది మరియు ఇంజెక్ట్ చేస్తుంది.

మరింత విస్తృతమైన అమలు పద్ధతిలో, పరిశోధకులు Windows షార్ట్‌కట్ ఫైల్ ('QQLaunch.lnk') యొక్క ఉపయోగాన్ని గమనించారు, ఇది రెండు అదనపు ఫైల్‌లను ('h' మరియు 't') కలిపి రోగ్ DLLని రూపొందించింది. ఈ DLL బ్యాక్‌డోర్ యొక్క రహస్య విస్తరణను నిర్ధారిస్తూ 'curl.exe' యొక్క పేరు మార్చబడిన సంస్కరణ ద్వారా సైడ్‌లోడ్ చేయబడింది.

పట్టుదల మరియు డేటా సేకరణ

ఇన్‌స్టాల్ చేసిన తర్వాత, PLAYFULGHOST బహుళ సాంకేతికతలను ఉపయోగించి సోకిన సిస్టమ్‌పై పట్టుదలను ఏర్పరుస్తుంది. విండోస్ రిజిస్ట్రీ (రన్ కీ)ని సవరించడం, షెడ్యూల్ చేసిన పనులను సృష్టించడం, విండోస్ స్టార్టప్ ఫోల్డర్‌కు ఎంట్రీలను జోడించడం మరియు విండోస్ సేవగా నమోదు చేయడం వంటివి వీటిలో ఉన్నాయి.

బ్యాక్‌డోర్ యొక్క సామర్థ్యాలు కీస్ట్రోక్‌లు, స్క్రీన్‌షాట్‌లు, ఆడియో రికార్డింగ్‌లు, క్లిప్‌బోర్డ్ డేటా, ఇన్‌స్టాల్ చేయబడిన సెక్యూరిటీ సాఫ్ట్‌వేర్ వివరాలు, సిస్టమ్ మెటాడేటా మరియు QQ ఖాతా ఆధారాలతో సహా అనేక రకాల సున్నితమైన సమాచారాన్ని సేకరించడానికి అనుమతిస్తాయి. అదనంగా, ఇది కీబోర్డ్ మరియు మౌస్ ఇన్‌పుట్‌లను నిరోధించడం, ఈవెంట్ లాగ్‌లను ట్యాంపరింగ్ చేయడం మరియు క్లిప్‌బోర్డ్ కంటెంట్‌ను క్లియర్ చేయడం ద్వారా వినియోగదారు పరస్పర చర్యలకు అంతరాయం కలిగించడానికి ఆదేశాలను అమలు చేయగలదు.

PLAYFULGHOST ఫైల్ మానిప్యులేషన్ సామర్థ్యాలను కూడా ప్రదర్శిస్తుంది, ఇది Sogou, QQ, 360 భద్రత, Firefox మరియు Google Chrome వంటి అప్లికేషన్‌ల నుండి బ్రౌజర్ కాష్‌లు మరియు ప్రొఫైల్‌లను తొలగించడానికి వీలు కల్పిస్తుంది. ఇది స్కైప్, టెలిగ్రామ్ మరియు QQ వంటి మెసేజింగ్ ప్లాట్‌ఫారమ్‌లతో అనుబంధించబడిన ప్రొఫైల్‌లు మరియు స్థానిక నిల్వను మరింత తీసివేయగలదు.

అదనపు సాధనాల విస్తరణ

ప్లేఫుల్‌ఘోస్ట్‌తో పాటు, ముప్పు నటులు సోకిన సిస్టమ్‌లపై తమ నియంత్రణను బలోపేతం చేయడానికి అనుబంధ సాధనాలను మోహరించడం గమనించబడింది. వీటిలో మిమికాట్జ్ , ఒక ప్రసిద్ధ క్రెడెన్షియల్-డంపింగ్ సాధనం మరియు నిర్దిష్ట రిజిస్ట్రీ ఎంట్రీలు, ఫైల్‌లు మరియు ప్రక్రియలను దాచడానికి రూపొందించబడిన రూట్‌కిట్ ఉన్నాయి. అదనంగా, బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్ (BYOVD) టెక్నిక్ ద్వారా సెక్యూరిటీ మెకానిజమ్‌లను డిసేబుల్ చేయడానికి టెర్మినేటర్ అనే ఓపెన్ సోర్స్ యుటిలిటీ పరిచయం చేయబడింది.

కనీసం ఒక సందర్భంలో, PLAYFULGHOST బూస్ట్‌వేవ్‌లో పొందుపరచబడింది, ఇది షెల్‌కోడ్-ఆధారిత ఇన్-మెమరీ డ్రాపర్, ఇది అనుబంధిత పోర్టబుల్ ఎక్జిక్యూటబుల్ (PE) పేలోడ్‌ల విస్తరణను సులభతరం చేస్తుంది.

ఎ పాజిబుల్ టార్గెట్ డెమోగ్రాఫిక్

Sogou, QQ మరియు 360 సేఫ్టీ వంటి అప్లికేషన్‌లపై దృష్టి కేంద్రీకరించడంతోపాటు LetsVPNని ఎరగా ఉపయోగించడం ద్వారా, ఈ ప్రచారం ప్రధానంగా చైనీస్ మాట్లాడే Windows వినియోగదారులను లక్ష్యంగా చేసుకున్నట్లు సూచిస్తుంది. అయినప్పటికీ, PLAYFULGHOST యొక్క అధునాతన సామర్థ్యాలు ఈ నిర్దిష్ట జనాభాకు మించి దోపిడీకి విస్తృత సామర్థ్యాన్ని సూచిస్తాయి.