网络安全研究人员已标记出一种名为PLAYFULGHOST的新型恶意软件,该软件具备广泛的信息收集功能,如键盘记录、屏幕截图、音频录制、远程shell以及文件传输/执行等。
据谷歌的托管防御团队称,该后门程序与一种名为Gh0st RAT的已知远程管理工具在功能上有所重叠,而Gh0st RAT的源代码早在2008年就已公开泄露。
PLAYFULGHOST的初始入侵途径包括使用含有行为规范相关诱饵的钓鱼邮件或搜索引擎优化(SEO)投毒技术来分发诸如LetsVPN等合法VPN应用的特洛伊木马版本。
“在一起钓鱼攻击事件中,感染始于诱骗受害者打开伪装成图像文件并使用.jpg扩展名的恶意RAR压缩包,”该公司表示,“当受害者解压并执行该压缩包时,它会释放一个恶意的Windows可执行文件,该文件最终会从远程服务器下载并执行PLAYFULGHOST。”
另一方面,采用SEO投毒的攻击链则试图欺骗不明真相的用户下载含有恶意软件的LetsVPN安装程序,该程序在启动时会释放一个负责检索后门组件的中间有效载荷。
该感染值得注意的一点是,它利用诸如DLL搜索顺序劫持和旁加载等方法来启动一个恶意DLL,然后使用该DLL来解密并将PLAYFULGHOST加载到内存中。
Mandiant表示,它还观察到了一个“更复杂的执行场景”,其中Windows快捷方式(“QQLaunch.lnk”)文件将名为“h”和“t”的两个其他文件的内容组合起来,以构建恶意DLL,并使用重命名的“curl.exe”版本进行旁加载。
PLAYFULGHOST能够使用四种不同的方法在主机上设置持久性:运行注册表项、计划任务、Windows启动文件夹和Windows服务。它拥有一套广泛的功能,能够收集大量数据,包括键盘输入、屏幕截图、音频、QQ账户信息、安装的安全产品、剪贴板内容以及系统元数据等。
此外,它还具备释放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和谷歌Chrome等浏览器相关的缓存和配置文件,以及擦除Skype、Telegram和QQ等消息传递应用程序的配置文件和本地存储的能力。
通过PLAYFULGHOST部署的其他一些工具包括Mimikatz和一个能够隐藏威胁行为者指定的注册表、文件和进程的rootkit。在下载PLAYFULGHOST组件时,还会同时释放一个名为Terminator的开源实用程序,该程序可以通过自带易受攻击的驱动程序(BYOVD)攻击来终止安全进程。
“有一次,Mandiant观察到PLAYFULGHOST有效载荷被嵌入到BOOSTWAVE中,”这家科技巨头表示,“BOOSTWAVE是一种shellcode,它作为附加的可移植可执行(PE)有效载荷的内存释放器。”
针对搜狗、QQ和360安全等应用以及使用LetsVPN诱饵的情况表明,这些感染可能针对的是使用中文的Windows用户。2024年7月,加拿大网络安全供应商eSentire披露了一起类似活动,该活动利用虚假的谷歌Chrome安装程序来传播Gh0st RAT,并使用了一个名为Gh0stGambit的释放器。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容