PLAYFULGHOST 后门支持多种信息窃取功能

admin 2025年1月7日10:21:52评论19 views字数 1054阅读3分30秒阅读模式
PLAYFULGHOST 后门支持多种信息窃取功能

Google 研究人员分析了一种名为 PLAYFULGHOST 的新型恶意软件家族,该家族支持多种功能,包括键盘记录、屏幕和音频捕获、远程 shell、文件传输/执行。PLAYFULGHOST 后门与 Gh0st RAT 共享功能,Gh0st RAT 的源代码于 2008 年公开发布。该后门通过以下方式传播:

  • 以“行为准则”为主题的钓鱼邮件,诱骗用户下载恶意软件。

  • 将恶意代码与流行应用程序(如 LetsVPN)捆绑,并通过 SEO 投毒进行传播。

在研究人员分析的一个案例中,攻击链从诱骗受害者打开一个伪装成图像文件的恶意 RAR 档案开始,该档案使用 .jpg 扩展名。执行该档案后,会释放一个恶意的 Windows 可执行文件,最终从远程服务器下载并执行 PLAYFULGHOST 有效载荷

另一方面,SEO 投毒感染通过诱骗受害者下载类似 LetsVPN 软件的特洛伊木马安装程序,然后从远程服务器下载后门组件。

PLAYFULGHOST 后门使用 DLL 搜索顺序劫持和侧加载来执行恶意 DLL。Mandiant 研究人员观察到一个复杂的场景,涉及一个 Windows 快捷方式和重命名的“curl.exe”来侧加载恶意软件。

Mandiant 的报告中提到:“Mandiant 观察到第二个更复杂的执行场景,从一个名为“QQLaunch.lnk”的 Windows LNK 文件开始。这个 LNK 文件结合了一个名为“h”的文本文件,其中包含字符“MZ”,以及第二个文件“t”,其中包含剩余的 PE 有效载荷,以构建一个新的恶意 DLL 名为“libcurl.dll”。然后,LNK 文件启动“QQLaunch.exe”,这是腾讯 QQ 的合法二进制文件,它启动另一个合法二进制文件“TIM.exe”,这是程序 CURL 的重命名版本。TIM.exe 然后加载一个恶意启动器 DLL“libcurl.dll”,它将解密并从一个加密文件“Debug.log”中加载 PLAYFULGHOST 有效载荷。”

Mandiant 研究人员还观察到以下附加恶意软件家族和实用工具与 PLAYFULGHOST 一起使用。

PLAYFULGHOST 后门支持多种信息窃取功能
PLAYFULGHOST 通过方法,如注册键、计划任务、启动文件夹和 Windows 服务,保持持久性。后门可以释放额外的有效载荷、阻止输入、清除事件日志、清除剪贴板、删除浏览器数据和擦除 Skype 和 Telegram 等应用程序的配置文件。Google 研究人员在 Google 安全操作中提供了事件规则,以检测 PLAYFULGHOST 活动。

原文始发于微信公众号(黑猫安全):PLAYFULGHOST 后门支持多种信息窃取功能

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月7日10:21:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PLAYFULGHOST 后门支持多种信息窃取功能http://cn-sec.com/archives/3599919.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息