PLAYFULGHOST 后门支持多种信息窃取功能

Google 研究人员分析了一种名为 PLAYFULGHOST 的新型恶意软件家族，该家族支持多种功能，包括键盘记录、屏幕和音频捕获、远程 shell、文件传输/执行。PLAYFULGHOST 后门与 Gh0st RAT 共享功能，Gh0st RAT 的源代码于 2008 年公开发布。该后门通过以下方式传播：

• 以“行为准则”为主题的钓鱼邮件，诱骗用户下载恶意软件。

• 将恶意代码与流行应用程序（如 LetsVPN）捆绑，并通过 SEO 投毒进行传播。

在研究人员分析的一个案例中，攻击链从诱骗受害者打开一个伪装成图像文件的恶意 RAR 档案开始，该档案使用 .jpg 扩展名。执行该档案后，会释放一个恶意的 Windows 可执行文件，最终从远程服务器下载并执行 PLAYFULGHOST 有效载荷。

另一方面，SEO 投毒感染通过诱骗受害者下载类似 LetsVPN 软件的特洛伊木马安装程序，然后从远程服务器下载后门组件。

PLAYFULGHOST 后门使用 DLL 搜索顺序劫持和侧加载来执行恶意 DLL。Mandiant 研究人员观察到一个复杂的场景，涉及一个 Windows 快捷方式和重命名的“curl.exe”来侧加载恶意软件。

Mandiant 的报告中提到：“Mandiant 观察到第二个更复杂的执行场景，从一个名为“QQLaunch.lnk”的 Windows LNK 文件开始。这个 LNK 文件结合了一个名为“h”的文本文件，其中包含字符“MZ”，以及第二个文件“t”，其中包含剩余的 PE 有效载荷，以构建一个新的恶意 DLL 名为“libcurl.dll”。然后，LNK 文件启动“QQLaunch.exe”，这是腾讯 QQ 的合法二进制文件，它启动另一个合法二进制文件“TIM.exe”，这是程序 CURL 的重命名版本。TIM.exe 然后加载一个恶意启动器 DLL“libcurl.dll”，它将解密并从一个加密文件“Debug.log”中加载 PLAYFULGHOST 有效载荷。”

Mandiant 研究人员还观察到以下附加恶意软件家族和实用工具与 PLAYFULGHOST 一起使用。

原文始发于微信公众号（黑猫安全）：PLAYFULGHOST 后门支持多种信息窃取功能