PLAYFULGHOST 惡意軟體

網路安全專家發現了一種新出現的威脅，稱為 PLAYFULGHOST，這是一個配備廣泛資訊收集功能的後門。這包括鍵盤記錄、螢幕和音訊擷取、遠端 shell 存取以及檔案傳輸或執行功能。

與 Gh0st RAT 的連接

PLAYFULGHOST 與Gh0st RAT表現出功能相似性，Gh0st RAT 是一種著名的遠端管理工具，在2008 年原始碼洩露後變得廣泛使用。的，同時引入了增強功能來擴展它的能力。

初始感染載體

PLAYFULGHOST 背後的威脅參與者採用多種技術來獲得對目標系統的初始存取權限。其中包括利用行為準則相關主題和 SEO 中毒策略來分發合法 VPN 應用程式（例如 LetsVPN）的木馬版本的網路釣魚活動。

在網路釣魚攻擊場景中，受害者會被誘騙打開損壞的 RAR 存檔，該存檔使用誤導性的「.jpg」副檔名偽裝成圖像檔案。提取並執行後，存檔會釋放有害的 Windows 可執行文件，然後從遠端伺服器擷取並啟動 PLAYFULGHOST。

另一方面，SEO 中毒用於引誘毫無戒心的用戶下載受感染的 LetsVPN 安裝程式。執行後，該安裝程式會部署一個中間負載，該負載會取得並啟動後門的核心元件。

先進的逃避和執行策略

PLAYFULGHOST 依靠各種隱形技術來逃避偵測並在受感染的系統上建立立足點。其中包括 DLL 搜尋順序劫持和 DLL 側載，以引入受損的 DLL，然後解密後門並將後門注入記憶體。

在一種更複雜的執行方法中，研究人員觀察到使用了 Windows 捷徑檔案（「QQLaunch.lnk」），該檔案結合了兩個附加檔案（「h」和「t」）來產生惡意 DLL。該 DLL 透過「curl.exe」的重命名版本進行旁加載，確保後門的秘密部署。

持久性和資料收集

安裝後，PLAYFULGHOST 會使用多種技術在受感染的系統上建立持久性。其中包括修改 Windows 註冊表（運行鍵）、建立排程任務、向 Windows 啟動資料夾新增項目以及註冊為 Windows 服務。

此後門的功能使其能夠收集各種敏感訊息，包括按鍵、螢幕截圖、錄音、剪貼簿資料、已安裝安全軟體的詳細資訊、系統元資料和 QQ 帳戶憑證。此外，它還可以執行命令，透過阻止鍵盤和滑鼠輸入、篡改事件日誌以及清除剪貼簿內容來中斷使用者互動。

PLAYFULGHOST 還具有檔案操作功能，能夠清除搜狗、QQ、360 安全性、Firefox 和 Google Chrome 等應用程式中的瀏覽器快取和設定檔。它可以進一步刪除與 Skype、Telegram 和 QQ 等訊息傳遞平台相關的設定檔和本機儲存。

附加工具的部署

據觀察，除了 PLAYFULGHOST 之外，威脅行為者還部署了補充工具來加強對受感染系統的控制。其中包括著名的憑證轉儲工具Mimikatz和旨在隱藏特定註冊表項、檔案和進程的 rootkit。此外，還引入了名為 Terminator 的開源實用程序，透過自帶易受攻擊的驅動程式 (BYOVD) 技術來停用安全機制。

至少在一個實例中，PLAYFULGHOST 已嵌入 BOOSTWAVE 中，BOOSTWAVE 是一種基於 shellcode 的記憶體植入程序，有助於部署附加的可移植可執行 (PE) 有效負載。

可能的目標人口統計

以搜狗、QQ、360安全性等應用程式為重點，結合LetsVPN作為誘餌，顯示活動主要針對中文Windows用戶。然而，PLAYFULGHOST 的先進功能顯示其在這一特定人群之外還有更廣泛的利用潛力。