Google 研究人员分析了一种名为 PLAYFULGHOST 的新型恶意软件家族,该家族支持多种功能,包括键盘记录、屏幕和音频捕获、远程 shell、文件传输/执行。PLAYFULGHOST 后门与 Gh0st RAT 共享功能,Gh0st RAT 的源代码于 2008 年公开发布。该后门通过以下方式传播:
-
以“行为准则”为主题的钓鱼邮件,诱骗用户下载恶意软件。
-
将恶意代码与流行应用程序(如 LetsVPN)捆绑,并通过 SEO 投毒进行传播。
在研究人员分析的一个案例中,攻击链从诱骗受害者打开一个伪装成图像文件的恶意 RAR 档案开始,该档案使用 .jpg 扩展名。执行该档案后,会释放一个恶意的 Windows 可执行文件,最终从远程服务器下载并执行 PLAYFULGHOST 有效载荷。
另一方面,SEO 投毒感染通过诱骗受害者下载类似 LetsVPN 软件的特洛伊木马安装程序,然后从远程服务器下载后门组件。
PLAYFULGHOST 后门使用 DLL 搜索顺序劫持和侧加载来执行恶意 DLL。Mandiant 研究人员观察到一个复杂的场景,涉及一个 Windows 快捷方式和重命名的“curl.exe”来侧加载恶意软件。
Mandiant 的报告中提到:“Mandiant 观察到第二个更复杂的执行场景,从一个名为“QQLaunch.lnk”的 Windows LNK 文件开始。这个 LNK 文件结合了一个名为“h”的文本文件,其中包含字符“MZ”,以及第二个文件“t”,其中包含剩余的 PE 有效载荷,以构建一个新的恶意 DLL 名为“libcurl.dll”。然后,LNK 文件启动“QQLaunch.exe”,这是腾讯 QQ 的合法二进制文件,它启动另一个合法二进制文件“TIM.exe”,这是程序 CURL 的重命名版本。TIM.exe 然后加载一个恶意启动器 DLL“libcurl.dll”,它将解密并从一个加密文件“Debug.log”中加载 PLAYFULGHOST 有效载荷。”
Mandiant 研究人员还观察到以下附加恶意软件家族和实用工具与 PLAYFULGHOST 一起使用。
原文始发于微信公众号(黑猫安全):PLAYFULGHOST 后门支持多种信息窃取功能
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论