PLAYFULGHOST Malware
Cybersicherheitsexperten haben eine neue Bedrohung namens PLAYFULGHOST identifiziert, eine Hintertür, die mit einem breiten Spektrum an Funktionen zum Sammeln von Informationen ausgestattet ist. Dazu gehören Keylogging, Bildschirm- und Audioaufzeichnung, Remote-Shell-Zugriff und Dateiübertragungs- oder -ausführungsfunktionen.
Inhaltsverzeichnis
Eine Verbindung zum Gh0st RAT
PLAYFULGHOST weist funktionale Ähnlichkeiten mit Gh0st RAT auf, einem bekannten Fernverwaltungstool, das nach der Veröffentlichung seines Quellcodes im Jahr 2008 allgemein verfügbar wurde. Dies deutet darauf hin, dass die Bedrohungsakteure hinter PLAYFULGHOST möglicherweise auf der Grundlage des älteren Tools aufbauten, jedoch Verbesserungen einführten, um dessen Fähigkeiten zu erweitern.
Erste Infektionsvektoren
Die Bedrohungsakteure hinter PLAYFULGHOST verwenden mehrere Techniken, um sich ersten Zugriff auf Zielsysteme zu verschaffen. Dazu gehören Phishing-Kampagnen, die Verhaltenskodex-bezogene Themen und SEO-Poisoning-Taktiken nutzen, um trojanisierte Versionen legitimer VPN-Anwendungen wie LetsVPN zu verbreiten.
Bei einem Phishing-Angriff werden die Opfer dazu verleitet, ein beschädigtes RAR-Archiv zu öffnen, das sich durch die irreführende Erweiterung „.jpg“ als Bilddatei tarnt. Beim Entpacken und Ausführen hinterlässt das Archiv eine schädliche ausführbare Windows-Datei, die dann PLAYFULGHOST von einem Remote-Server abruft und startet.
SEO-Poisoning hingegen wird verwendet, um ahnungslose Benutzer dazu zu verleiten, ein kompromittiertes LetsVPN-Installationsprogramm herunterzuladen. Bei der Ausführung stellt dieses Installationsprogramm eine Zwischennutzlast bereit, die die Kernkomponenten der Hintertür abruft und aktiviert.
Fortgeschrittene Ausweich- und Ausführungstaktiken
PLAYFULGHOST nutzt verschiedene Tarntechniken, um unentdeckt zu bleiben und sich in infizierten Systemen festzusetzen. Dazu gehören DLL Search Order Hijacking und DLL Sideloading, um eine infizierte DLL einzuschleusen, die dann die Hintertür entschlüsselt und in den Speicher einschleust.
Bei einer aufwändigeren Ausführungsmethode beobachteten die Forscher die Verwendung einer Windows-Verknüpfungsdatei („QQLaunch.lnk“), die zwei zusätzliche Dateien („h“ und „t“) kombiniert, um eine betrügerische DLL zu generieren. Diese DLL wird über eine umbenannte Version von „curl.exe“ seitlich geladen, wodurch eine verdeckte Bereitstellung der Hintertür gewährleistet wird.
Persistenz und Datenerfassung
Nach der Installation etabliert sich PLAYFULGHOST mithilfe mehrerer Techniken dauerhaft auf dem infizierten System. Dazu gehören das Ändern der Windows-Registrierung (Run-Schlüssel), das Erstellen geplanter Aufgaben, das Hinzufügen von Einträgen zum Windows-Startup-Ordner und die Registrierung als Windows-Dienst.
Die Fähigkeiten der Hintertür ermöglichen es ihr, eine Vielzahl vertraulicher Informationen zu sammeln, darunter Tastatureingaben, Screenshots, Audioaufnahmen, Daten aus der Zwischenablage, Details zu installierter Sicherheitssoftware, Systemmetadaten und Anmeldeinformationen für QQ-Konten. Darüber hinaus kann sie Befehle ausführen, um Benutzerinteraktionen zu stören, indem sie Tastatur- und Mauseingaben blockiert, Ereignisprotokolle manipuliert und Inhalte aus der Zwischenablage löscht.
PLAYFULGHOST verfügt auch über Dateimanipulationsfunktionen, mit denen es Browser-Caches und Profile von Anwendungen wie Sogou, QQ, 360 Safety, Firefox und Google Chrome löschen kann. Darüber hinaus kann es Profile und lokalen Speicher entfernen, die mit Messaging-Plattformen wie Skype, Telegram und QQ verknüpft sind.
Bereitstellung zusätzlicher Tools
Neben PLAYFULGHOST wurde beobachtet, dass Bedrohungsakteure zusätzliche Tools einsetzen, um ihre Kontrolle über infizierte Systeme zu verstärken. Dazu gehören Mimikatz , ein bekanntes Credential-Dumping-Tool, und ein Rootkit, das bestimmte Registrierungseinträge, Dateien und Prozesse verbergen soll. Darüber hinaus wird ein Open-Source-Dienstprogramm namens Terminator eingeführt, um Sicherheitsmechanismen durch eine Bring Your Own Vulnerable Driver (BYOVD)-Technik zu deaktivieren.
In mindestens einem Fall wurde PLAYFULGHOST in BOOSTWAVE eingebettet, einen Shellcode-basierten In-Memory-Dropper, der die Bereitstellung angehängter Portable Executable (PE)-Payloads erleichtert.
Eine mögliche Zielgruppe
Der Fokus auf Anwendungen wie Sogou, QQ und 360 Safety, kombiniert mit der Verwendung von LetsVPN als Köder, lässt darauf schließen, dass diese Kampagne in erster Linie auf chinesischsprachige Windows-Benutzer abzielt. Die erweiterten Funktionen von PLAYFULGHOST deuten jedoch auf ein breiteres Ausnutzungspotenzial hin, das über diese spezielle Zielgruppe hinausgeht.
