Шкідливе програмне забезпечення PLAYFULGHOST
Експерти з кібербезпеки ідентифікували нову загрозу під назвою PLAYFULGHOST, бекдор, оснащений широким спектром функцій збору інформації. Це включає клавіатурний журнал, захоплення екрана та аудіо, віддалений доступ до оболонки та можливості передачі файлів або виконання.
Зміст
Підключення до Gh0st RAT
PLAYFULGHOST демонструє функціональну схожість із Gh0st RAT , добре відомим інструментом віддаленого адміністрування, який став широко доступним після витоку його вихідного коду в 2008 році. Це свідчить про те, що загрозливі особи, що стоять за PLAYFULGHOST, можливо, спиралися на основу старішого інструменту, одночасно запроваджуючи вдосконалення для розширення його можливості.
Початкові переносники інфекції
Зловмисники, що стоять за PLAYFULGHOST, використовують кілька методів для отримання початкового доступу до цільових систем. До них належать фішингові кампанії, які використовують теми, пов’язані з кодексом поведінки, і тактику оптимізації пошукових систем для розповсюдження троянських версій законних програм VPN, таких як LetsVPN.
У сценарії фішингової атаки жертв обманом змушують відкрити пошкоджений архів RAR, який маскується під файл зображення за допомогою оманливого розширення «.jpg». Під час розпакування та виконання архів видаляє шкідливий виконуваний файл Windows, який потім отримує та запускає PLAYFULGHOST із віддаленого сервера.
З іншого боку, SEO-отруєння використовується, щоб спонукати нічого не підозрюючих користувачів завантажити скомпрометований інсталятор LetsVPN. Після виконання цей інсталятор розгортає проміжне корисне навантаження, яке отримує та активує основні компоненти бекдора.
Вдосконалена тактика ухилення та страти
PLAYFULGHOST покладається на різні методи скритності, щоб уникнути виявлення та закріпитися на скомпрометованих системах. До них відносяться викрадення порядку пошуку DLL і стороннє завантаження DLL для введення скомпрометованої DLL, яка потім розшифровує та впроваджує бекдор у пам’ять.
У більш складному методі виконання дослідники помітили використання файлу ярлика Windows ('QQLaunch.lnk'), який об'єднує два додаткові файли ('h' і 't') для генерації фальшивої DLL. Ця DLL завантажується через перейменовану версію 'curl.exe', забезпечуючи приховане розгортання бекдору.
Постійність і збір даних
Після встановлення PLAYFULGHOST встановлює постійність в зараженій системі за допомогою кількох методів. До них входить зміна реєстру Windows (ключ Run), створення запланованих завдань, додавання записів до папки автозавантаження Windows і реєстрація як служби Windows.
Можливості бекдору дозволяють збирати широкий спектр конфіденційної інформації, включаючи натискання клавіш, знімки екрана, аудіозаписи, дані буфера обміну, відомості про встановлене програмне забезпечення безпеки, метадані системи та облікові дані облікового запису QQ. Крім того, він може виконувати команди, щоб порушити взаємодію користувача, блокуючи введення з клавіатури та миші, змінюючи журнали подій і очищаючи вміст буфера обміну.
PLAYFULGHOST також демонструє можливості маніпулювання файлами, дозволяючи йому стирати кеші браузера та профілі таких програм, як Sogou, QQ, 360 Safety, Firefox і Google Chrome. Він також може видаляти профілі та локальне сховище, пов’язане з платформами обміну повідомленнями, такими як Skype, Telegram і QQ.
Розгортання додаткових інструментів
Поряд із PLAYFULGHOST спостерігали, що зловмисники встановлюють додаткові інструменти для посилення контролю над зараженими системами. Серед них Mimikatz , добре відомий інструмент скидання облікових даних, і руткіт, призначений для приховування певних записів реєстру, файлів і процесів. Крім того, представлено утиліту з відкритим вихідним кодом під назвою Terminator, яка вимикає механізми безпеки за допомогою технології Bring Your Own Vulnerable Driver (BYOVD).
Принаймні в одному випадку PLAYFULGHOST було вбудовано в BOOSTWAVE, дроппер в пам’яті на основі коду оболонки, який полегшує розгортання доданих корисних навантажень Portable Executable (PE).
Можлива цільова демографічна група
Зосередженість на таких програмах, як Sogou, QQ і 360 Safety, у поєднанні з використанням LetsVPN як приманки свідчить про те, що ця кампанія в першу чергу спрямована на китайськомовних користувачів Windows. Однак розширені можливості PLAYFULGHOST вказують на ширший потенціал для використання за межами цієї конкретної демографічної групи.
