新型恶意软件PLAYFULGHOST通过钓鱼和SEO投毒传播，窃取用户敏感信息

近日，网络安全研究人员发现了一种名为PLAYFULGHOST的新型恶意软件，该软件具备多种信息窃取功能，包括键盘记录、屏幕截图、音频捕获、远程Shell以及文件传输/执行等。根据Google的Managed Defense团队分析，该后门程序与2008年源代码泄露的远程管理工具Gh0st RAT在功能上有诸多相似之处。

传播途径：钓鱼邮件与SEO投毒

PLAYFULGHOST的初始传播途径包括通过钓鱼邮件和搜索引擎优化（SEO）投毒技术分发经过篡改的合法VPN应用程序（如LetsVPN）。钓鱼邮件通常伪装成与行为准则相关的通知，诱骗受害者打开恶意RAR压缩包。这些压缩包被伪装成图片文件（使用.jpg扩展名），一旦解压并执行，便会释放恶意Windows可执行文件，最终从远程服务器下载并执行PLAYFULGHOST。

另一方面，SEO投毒攻击则试图欺骗用户下载带有恶意软件的LetsVPN安装程序。安装程序启动后，会释放一个中间载荷，负责从远程服务器获取后门组件。

感染机制：DLL劫持与侧加载

PLAYFULGHOST利用DLL搜索顺序劫持和侧加载等技术，加载恶意DLL文件，进而解密并将PLAYFULGHOST注入内存。Mandiant还观察到一种更为复杂的执行场景：攻击者通过Windows快捷方式文件（“QQLaunch.lnk”）结合两个名为“h”和“t”的文件内容，构建恶意DLL，并使用重命名的“curl.exe”进行侧加载。

持久化与功能特性

PLAYFULGHOST能够在受感染主机上通过四种方式实现持久化：注册表Run键、计划任务、Windows启动文件夹和Windows服务。其功能极为强大，能够收集包括键盘输入、屏幕截图、音频、QQ账户信息、已安装的安全产品、剪贴板内容和系统元数据在内的多种数据。

此外，该恶意软件还能投放更多载荷、屏蔽鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除浏览器（如搜狗、QQ、360安全、Firefox和Google Chrome）的缓存和配置文件，以及清除Skype、Telegram和QQ等即时通讯应用的配置文件和本地存储数据。

其他工具与攻击手法

PLAYFULGHOST还部署了Mimikatz和一款能够隐藏注册表、文件和进程的Rootkit。同时，攻击者还使用了一款名为Terminator的开源工具，通过“自带漏洞驱动”（BYOVD）攻击终止安全进程。

Mandiant还发现，PLAYFULGHOST的载荷曾被嵌入到BOOSTWAVE中。BOOSTWAVE是一种Shellcode，充当内存中的载荷投放器，用于加载附加的可移植可执行文件（PE）载荷。

目标群体：中文用户

PLAYFULGHOST针对搜狗、QQ和360安全等应用程序，并使用LetsVPN作为诱饵，表明其攻击目标可能是使用中文的Windows用户。值得注意的是，2024年7月，加拿大网络安全供应商eSentire曾披露过类似的攻击活动，攻击者通过伪造的Google Chrome安装程序传播Gh0st RAT，使用的投放器名为Gh0stGambit。

安全建议

鉴于PLAYFULGHOST的复杂性和危害性，用户应提高警惕，避免点击不明来源的链接或下载可疑的软件。同时，建议定期更新操作系统和安全软件，并启用多因素认证以增强账户安全性。

网络安全形势日益严峻，企业和个人用户都应加强安全意识，防范此类高级威胁。

原文始发于微信公众号（技术修道场）：新型恶意软件PLAYFULGHOST通过钓鱼和SEO投毒传播，窃取用户敏感信息