网络安全研究人员标记了一种名为 PLAYFULGHOST 的新恶意软件,该恶意软件具有广泛的信息收集功能,例如键盘记录、屏幕捕获、音频捕获、远程 shell 和文件传输/执行。
据 Google 的 Managed Defense 团队称,该后门与一种称为 Gh0st RAT 的已知远程管理工具共享功能重叠,该工具的源代码于 2008 年公开泄露。
PLAYFULGHOST 的初始访问途径包括使用带有行为准则相关诱饵或搜索引擎优化 (SEO) 中毒技术的网络钓鱼电子邮件来分发合法 VPN 应用程序(如 LetsVPN)的木马化版本。
“在一个网络钓鱼案件中,感染首先诱骗受害者使用 .jpg 扩展名打开伪装成图像文件的恶意 RAR 档案,”该公司表示。“当受害者提取并执行时,存档会丢弃一个恶意的 Windows 可执行文件,该可执行文件最终会从远程服务器下载并执行 PLAYFULGHOST。”
另一方面,采用 SEO 中毒的攻击链试图欺骗毫无戒心的用户下载带有恶意软件的 LetsVPN 安装程序,该安装程序在启动时会丢弃一个负责检索后门组件的临时有效载荷。
值得注意的是,该感染利用 DLL 搜索顺序劫持和旁加载等方法启动恶意 DLL,然后使用该 DLL 解密 PLAYFULGHOST 并将其加载到内存中。
Mandiant 表示,它还观察到一种“更复杂的执行场景”,其中 Windows 快捷方式(“QQLaunch.lnk”)文件结合了另外两个名为“h”和“t”的文件的内容,以构建流氓 DLL 并使用重命名的“curl.exe”版本对其进行旁加载。
PLAYFULGHOST 能够使用四种不同的方法在主机上设置持久性:运行注册表项、计划任务、Windows 启动文件夹和 Windows 服务。它拥有一套广泛的功能,使其能够收集大量数据,包括击键、屏幕截图、音频、QQ 帐户信息、已安装的安全产品、剪贴板内容和系统元数据。
它还具有删除更多有效负载、阻止鼠标和键盘输入、清除 Windows 事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360 Safety、Firefox 和 Google Chrome 等网络浏览器关联的缓存和配置文件的功能,以及擦除配置文件和消息应用程序的本地存储,例如 Skype、Telegram 和 QQ。
通过 PLAYFULGHOST 部署的其他一些工具是 Mimikatz 和能够隐藏威胁行为者指定的注册表、文件和进程的 rootkit。与 PLAYFULGHOST 组件下载一起删除的还有一个名为 Terminator 的开源实用程序,它可以通过自带易受攻击的驱动程序 (BYOVD) 攻击来终止安全进程。
“有一次,Mandiant 观察到 PLAYFULGHOST 有效载荷嵌入到 BOOSTWAVE 中,”这家科技巨头说。“BOOSTWAVE 是一个 shellcode,它充当附加的可移植可执行 (PE) 有效负载的内存植入器。”
针对搜狗、QQ 和 360 Safety 等应用程序以及 LetsVPN 诱饵的使用增加了这些感染针对中文 Windows 用户的可能性。2024 年 7 月,加拿大网络安全供应商 eSentire 披露了一项类似的活动,该活动利用 Google Chrome 的虚假安装程序,使用名为 Gh0stGambit 的投放器传播 Gh0st RAT。
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局
信息来源:https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html