Istraživači cyber sigurnosti su označili novi maliciozni softver pod nazivom PLAYFULGHOST koji dolazi sa širokim spektrom funkcija za prikupljanje informacija kao što su keylogging, snimanje ekrana, snimanje zvuka, daljinska ljuska i prijenos/izvršavanje datoteka.
Backdoor, prema Googleovom timu Mandiant Managed Defense, dijeli funkcionalna preklapanja s poznatim alatom za udaljenu administraciju koji se naziva Gh0st RAT , čiji je izvorni kod javno procurio 2008. godine.
Inicijalni putevi pristupa PLAYFULGHOST-a uključuju upotrebu phishing e-poruka sa kodom mamaca vezanih za ponašanje ili tehnikama trovanja optimizacijom pretraživača (SEO) za distribuciju trojaniziranih verzija legitimnih VPN aplikacija kao što je LetsVPN.
“U jednom slučaju krađe identiteta, zaraza počinje tako što žrtvu prevari da otvori malicioznu RAR arhivu prerušenu u slikovnu datoteku korištenjem ekstenzije .jpg”, rekli su iz kompanije . “Kada je žrtva ekstrahuje i izvrši, arhiva ispušta zlonamerni Windows izvršni fajl, koji na kraju preuzima i izvršava PLAYFULGHOST sa udaljenog servera.”
Lanci napada koji koriste SEO trovanje, s druge strane, nastoje da prevare nesuđene korisnike da preuzmu instalacioni program za LetsVPN sa malverom, koji, kada se pokrene, ispušta privremeni teret odgovoran za preuzimanje backdoor komponenti.
Infekcija je značajna po tome što koristi metode kao što su otmica naloga pretraživanja DLL-a i bočno učitavanje za pokretanje malicioznog DLL-a koji se zatim koristi za dešifriranje i učitavanje PLAYFULGHOST-a u memoriju.
Mandiant je rekao da je takođe primijetio “sofisticiraniji scenarij izvršavanja” u kojem datoteka prečice za Windows (“QQLaunch.lnk”) kombinuje sadržaj dva druga fajla pod nazivom “h” i “t” kako bi konstruisala lažni DLL i učitala ga uz pomoć preimenovana u verziju “curl.exe.”
PLAYFULGHOST može podesiti postojanost na hostu koristeći četiri različite metode: Pokreni ključ registratora, zakazani zadatak, Windows Startup folder i Windows uslugu. Može se pohvaliti opsežnim skupom funkcija koje mu omogućavaju prikupljanje opsežnih podataka, uključujući pritiske na tipke, snimke ekrana, zvuk, informacije o QQ nalogu, instalirane sigurnosne proizvode, sadržaj međuspremnika i sistemske metapodatke.
Takođe dolazi sa mogućnostima za ispuštanje više korisnih podataka, blokiranje unosa miša i tastature, brisanje dnevnika događaja u Windowsu, brisanje podataka međuspremnika, obavljanje operacija sa datotekama, brisanje predmemorije i profila povezanih sa web pretraživačima kao što su Sogou, QQ, 360 Safety, Firefox i Google Chrome , i obrišite profile i lokalnu pohranu za aplikacije za razmjenu poruka kao što su Skype, Telegram i QQ.
Neki od drugih alata koji se koriste preko PLAYFULGHOST-a su Mimikatz i rootkit koji može sakriti registar, datoteke i procese koje je odredio haker. Uz preuzimanje PLAYFULGHOST komponenti, takođe je izbačen i uslužni program otvorenog koda pod nazivom Terminator koji može ubiti sigurnosne procese pomoću napada Bring Your Own Vulnerable Driver ( BYOVD ).
“Jednom prilikom, Mandiant je primetio da je PLAYFULGHOST korisni teret ugrađen u BOOSTWAVE”, rekao je tehnološki gigant. “BOOSTWAVE je shellcode koji djeluje kao in-memory dropper za dodani prijenosni izvršni (PE) korisni teret.”
Ciljanje aplikacija kao što su Sogou, QQ i 360 Safety i korištenje LetsVPN mamaca povećavaju mogućnost da su ove infekcije ciljane na korisnike Windowsa koji govore kineski. U julu 2024., kanadski dobavljač cyber sigurnosti eSentire otkrio je sličnu kampanju koja je koristila lažne instalatere za Google Chrome da propagiraju Gh0st RAT koristeći dropper nazvan Gh0stGambit.
Izvor:The Hacker News