Recentemente, i ricercatori nel campo della sicurezza informatica hanno individuato un nuovo malware denominato PLAYFULGHOST. Questo malware è dotato di una serie di funzionalità avanzate per la raccolta di informazioni, tra cui la registrazione delle sequenze di tasti, la cattura dello schermo, la registrazione audio e la possibilità di eseguire comandi da remoto e trasferire file. Le modalità di accesso iniziale del malware includono l'utilizzo di email di phishing che contengono elementi di richiamo legati a codici di condotta o tecniche di avvelenamento SEO per distribuire versioni trojanizzate di applicazioni VPN legittime, come LetsVPN.

Condivisione di funzionalità con Gh0st RAT

Il team di Managed Defense di Google ha evidenziato che il malware condivide alcune funzionalità con un noto strumento di amministrazione remota chiamato Gh0st RAT, il cui codice sorgente è stato reso pubblico nel 2008. In uno dei casi di phishing, l'infezione inizia ingannando la vittima a aprire un archivio RAR malevolo camuffato come un file immagine, utilizzando un'estensione .jpg. Una volta estratto ed eseguito, l'archivio rilascia un eseguibile Windows malevolo, che poi scarica ed esegue PLAYFULGHOST da un server remoto.

Attacchi tramite avvelenamento SEO

Le catene di attacco che utilizzano l'avvelenamento SEO, invece, mirano a ingannare gli utenti ignari inducendoli a scaricare un installer infetto per LetsVPN, che, una volta lanciato, rilascia un payload intermedio responsabile del recupero dei componenti del malware. Questo processo è caratterizzato dall'uso di tecniche come il dirottamento dell'ordine di ricerca delle DLL e il caricamento laterale per lanciare una DLL malevola che viene poi utilizzata per decrittare e caricare PLAYFULGHOST in memoria.

Scenari di esecuzione sofisticati

Inoltre, è stato osservato uno scenario di esecuzione più sofisticato che coinvolge un file di collegamento Windows (QQLaunch.lnk), che combina i contenuti di altri due file per costruire la DLL malevola e caricarla con una versione rinominata di "curl.exe". PLAYFULGHOST è in grado di stabilire la persistenza sull'host utilizzando quattro diversi metodi: chiave di registro Run, attività pianificata, cartella di avvio di Windows e servizio di Windows.

Funzionalità estese di raccolta dati

Il malware possiede un ampio set di funzionalità che gli consentono di raccogliere dati estesi, inclusi sequenze di tasti, schermate, audio, informazioni sugli account QQ, prodotti di sicurezza installati, contenuto degli appunti e metadati di sistema. Inoltre, può rilasciare ulteriori payload, bloccare l'input di mouse e tastiera, cancellare i log degli eventi di Windows, eliminare dati degli appunti e profili associati a browser web e applicazioni di messaggistica come Skype e Telegram.

Strumenti distribuiti tramite PLAYFULGHOST

Tra gli altri strumenti distribuiti tramite PLAYFULGHOST vi sono Mimikatz e un rootkit capace di nascondere registri, file e processi specificati dall'attore della minaccia. Viene anche distribuito un'utility open-source chiamata Terminator che può terminare processi di sicurezza attraverso un attacco Bring Your Own Vulnerable Driver (BYOVD). L'uso di esche LetsVPN solleva la possibilità che queste infezioni stiano prendendo di mira utenti Windows di lingua cinese.