近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现PLAYFULGHOST恶意软件持续活跃,主要针对Windows用户实施攻击窃取敏感信息。
PLAYFULGHOST恶意软件攻击目标主要针对搜狗、QQ和360安全等应用程序,通过钓鱼邮件和搜索引擎优化(SEO)投毒技术分发经过篡改的合法VPN应用程序(如LetsVPN)进行传播。在感染过程中,PLAYFULGHOST利用DLL劫持、侧加载等技术,加载恶意DLL文件,进而解密并将PLAYFULGHOST注入内存。一旦感染成功,攻击者将控制系统,进行键盘记录、屏幕截图、远程Shell访问以及文件传输与执行等恶意活动。此外,PLAYFULGHOST在攻击过程中使用了Mimikatz(密码提取工具,用于从内存中提取明文密码)与Rootkit(隐藏工具,能够隐藏自身及恶意行为),并利用Terminator开源工具,通过植入自带漏洞驱动(BYOVD)终止安全进程,进一步增强其功能性和隐蔽性。
建议相关单位及用户立即组织排查,及时更新防病毒软件,定期实施全盘病毒查杀和重要数据备份,谨慎点击不明来源的链接或下载运行来源不明的应用程序,加强网络安全意识培训,防范网络攻击风险。
原文始发于微信公众号(网络安全威胁和漏洞信息共享平台):关于防范PLAYFULGHOST恶意软件的风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论