Pesquisadores de cibersegurança identificaram um novo malware chamado PLAYFULGHOST, equipado com uma ampla gama de funcionalidades para coleta de informações, como keylogging, captura de tela, captura de áudio, remote shell e transferência/execução de arquivos.
A equipe de Managed Defense do Google afirma que o backdoor tem sobreposições funcionais com uma conhecida ferramenta de administração remota chamada Gh0st RAT, cujo código fonte foi vazado publicamente em 2008.
As vias de acesso inicial do PLAYFULGHOST incluem o uso de emails de phishing com iscas relacionadas a conduta ou técnicas de envenenamento de Search Engine Optimization (SEO) para distribuir versões trojanizadas de aplicativos VPN legítimos, como o LetsVPN.
"Em um caso de phishing, a infecção começa enganando a vítima para abrir um arquivo RAR malicioso disfarçado como um arquivo de imagem, usando uma extensão .jpg", disse a companhia.
Quando extraído e executado pela vítima, o arquivo solta um executável Windows malicioso, que eventualmente baixa e executa o PLAYFULGHOST de um servidor remoto.
Cadeias de ataque que empregam envenenamento de SEO, por outro lado, buscam enganar usuários desavisados para baixar um instalador contaminado com malware para o LetsVPN, que, quando iniciado, solta uma carga intermediária responsável por recuperar os componentes do backdoor.
A infecção é notável por utilizar métodos como hijacking da ordem de busca de DLL e side-loading para lançar uma DLL maliciosa que é então usada para descriptografar e carregar o PLAYFULGHOST na memória.
A Mandiant disse que também observou um "cenário de execução mais sofisticado", onde um arquivo de atalho do Windows ("QQLaunch.lnk"), combina o conteúdo de outros dois arquivos nomeados "h" e "t" para construir a DLL maliciosa e carregá-la usando uma versão renomeada do "curl.exe".
O PLAYFULGHOST é capaz de estabelecer persistência no host usando quatro métodos diferentes: chave Run no registro, tarefa agendada, pasta de Inicialização do Windows e serviço do Windows.
Ele possui um conjunto extenso de funcionalidades que permitem coletar uma vasta gama de dados, incluindo teclas digitadas, screenshots, áudio, informações de conta QQ, produtos de segurança instalados, conteúdo da área de transferência e metadados do sistema.
Ele também vem com capacidades para soltar mais cargas, bloquear entrada de mouse e teclado, limpar logs de eventos do Windows, apagar dados da área de transferência, realizar operações com arquivos, deletar caches e perfis associados a navegadores web como Sogou, QQ, 360 Safety, Firefox e Google Chrome, e apagar perfis e armazenamento local para aplicativos de mensagens como Skype, Telegram e QQ.
Algumas das outras ferramentas implantadas via PLAYFULGHOST são Mimikatz e um rootkit capaz de esconder registros, arquivos e processos especificados pelo ator de ameaça.
Também foi soltada, junto com o download dos componentes do PLAYFULGHOST, uma utilidade open-source chamada Terminator que pode matar processos de segurança por meio de um ataque Bring Your Own Vulnerable Driver (BYOVD).
"Em uma ocasião, a Mandiant observou um payload PLAYFULGHOST sendo incorporado dentro do BOOSTWAVE", disse o gigante da tecnologia.
BOOSTWAVE é um shellcode que atua como dropper em memória para um payload Portable Executable (PE) anexado.
O direcionamento de aplicativos como Sogou, QQ e 360 Safety e o uso de iscas LetsVPN aumentam a possibilidade de que essas infecções estejam mirando usuários Windows que falam chinês.
Em julho de 2024, a fornecedora de cibersegurança canadense eSentire revelou uma campanha similar que aproveitava instaladores falsos do Google Chrome para propagar o Gh0st RAT usando um dropper chamado Gh0stGambit.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...