PLAYFULGHOST 恶意软件

网络安全专家发现了一种新出现的威胁，称为 PLAYFULGHOST，这是一种配备广泛信息收集功能的后门，其中包括键盘记录、屏幕和音频捕获、远程 shell 访问以及文件传输或执行功能。

与 Gh0st RAT 的联系

PLAYFULGHOST 与Gh0st RAT具有功能相似性，Gh0st RAT 是一种著名的远程管理工具，在其源代码于 2008 年泄露后开始广泛使用。这表明 PLAYFULGHOST 背后的威胁行为者可能在旧工具的基础上进行了改进，同时引入了增强功能来扩展其功能。

初始感染媒介

PLAYFULGHOST 背后的威胁行为者采用多种技术来获取对目标系统的初始访问权限。这些技术包括利用与行为准则相关的主题和 SEO 投毒策略的网络钓鱼活动，以分发合法 VPN 应用程序（例如 LetsVPN）的木马版本。

在网络钓鱼攻击场景中，受害者被诱骗打开一个损坏的 RAR 存档，该存档通过使用误导性的“.jpg”扩展名伪装成图像文件。提取并执行存档时，它会植入有害的 Windows 可执行文件，然后从远程服务器检索并启动 PLAYFULGHOST。

另一方面，SEO 投毒用于诱骗毫无戒心的用户下载受感染的 LetsVPN 安装程序。执行后，此安装程序会部署中间有效负载，从而获取并激活后门的核心组件。

高级逃避和执行策略

PLAYFULGHOST 依靠各种隐身技术逃避检测并在受感染系统上建立立足点。这些技术包括 DLL 搜索顺序劫持和 DLL 侧载，以引入受感染的 DLL，然后解密并将后门注入内存。

在更复杂的执行方法中，研究人员观察到使用 Windows 快捷方式文件（“QQLaunch.lnk”），该文件结合了两个附加文件（“h”和“t”）来生成恶意 DLL。此 DLL 通过重命名的“curl.exe”版本进行侧载，确保后门的隐蔽部署。

持久性和数据收集

安装后，PLAYFULGHOST 会使用多种技术在受感染的系统中建立持久性。这些技术包括修改 Windows 注册表（运行键）、创建计划任务、向 Windows 启动文件夹添加条目以及注册为 Windows 服务。

该后门程序的功能使其能够收集各种敏感信息，包括按键、屏幕截图、录音、剪贴板数据、已安装安全软件的详细信息、系统元数据和 QQ 帐户凭据。此外，它还可以执行命令，通过阻止键盘和鼠标输入、篡改事件日志和清除剪贴板内容来破坏用户交互。

PLAYFULGHOST 还具有文件处理功能，能够清除搜狗、QQ、360 安全、Firefox 和 Google Chrome 等应用程序的浏览器缓存和配置文件。它还可以删除与 Skype、Telegram 和 QQ 等消息平台相关的配置文件和本地存储。

部署附加工具

除了 PLAYFULGHOST，威胁行为者还被发现部署了辅助工具来加强对受感染系统的控制。其中包括Mimikatz （一种著名的凭证转储工具）和用于隐藏特定注册表项、文件和进程的 rootkit。此外，还引入了一个名为 Terminator 的开源实用程序，通过自带易受攻击驱动程序 (BYOVD) 技术禁用安全机制。

至少在一个实例中，PLAYFULGHOST 已嵌入 BOOSTWAVE 中，后者是一种基于 shellcode 的内存投放器，有助于部署附加的可移植可执行 (PE) 有效负载。

可能的目标人群

此次攻击主要针对搜狗、QQ 和 360 安全等应用，并使用 LetsVPN 作为诱饵，这表明此次攻击主要针对使用中文的 Windows 用户。然而，PLAYFULGHOST 的先进功能表明，除了这一特定人群之外，该攻击还有更广泛的利用潜力。