- Специальный корреспондент
Как бесплатная защита обернулась охотой на пароли пользователей.
Исследователи кибербезопасности обнаружили новое вредоносное ПО под названием PLAYFULGHOST, обладающее широкими функциями сбора информации. Среди его возможностей — кейлоггинг, захват экрана и аудио, удалённый доступ через командную строку, а также передача и выполнение файлов.
Как отмечает команда Google Cloud Security, это вредоносное ПО имеет сходства с Gh0st RAT, известным инструментом удалённого администрирования, исходный код которого был раскрыт в далёком 2008 году. Основными путями заражения PLAYFULGHOST становятся фишинговые письма и SEO-подмена.
В одном из случаев фишинга злоумышленники использовали RAR-архив, замаскированный под изображение с расширением «.jpg». После извлечения и запуска архив загружает на устройство вредоносный исполняемый файл, который в конечном итоге скачивает и активирует PLAYFULGHOST с удалённого сервера.
Другой метод заражения через SEO-подмену предполагает загрузку установщика LetsVPN, содержащего промежуточный вредоносный код, ответственный за установку компонентов вредоносного ПО.
Для выполнения атаки злоумышленники используют методы, такие DLL Hijacking и DLL Sideloading, чтобы запустить вредоносную библиотеку, которая загружает и расшифровывает PLAYFULGHOST в памяти устройства. В сложных сценариях выполняется комбинация нескольких файлов для формирования вредоносной DLL с использованием модифицированной версии утилиты Curl.
PLAYFULGHOST закрепляется в системе через ключи реестра, планировщик задач, папку автозагрузки и службы Windows. Вредоносное ПО способно собирать данные о нажатиях клавиш, скриншоты, аудио, информацию об учётных записях, содержимое буфера обмена, метаданные системы и установленных антивирусных продуктов. Оно также может блокировать ввод с клавиатуры и мыши, очищать журналы событий Windows, удалять кэш браузеров, профили мессенджеров и выполнять другие опасные операции.
Кроме того, PLAYFULGHOST может распространять дополнительные инструменты, включая Mimikatz и руткиты, скрывающие файлы и процессы. Одним из таких инструментов является Terminator, использующий уязвимости драйверов для уничтожения процессов безопасности. На одном из этапов анализа эксперты зафиксировали, что PLAYFULGHOST распространяется с помощью загрузчика BOOSTWAVE, использующего shell-код для внедрения вредоносных исполняемых файлов.
Целевые приложения, такие как Sogou, QQ и 360 Safety, а также приманки в виде LetsVPN указывают на возможный фокус на китаеязычных пользователей Windows. Ранее, в июле 2024 года, канадская компания eSentire сообщала об аналогичных вредоносных операциях, где для распространения Gh0st RAT использовались поддельные установщики Google Chrome.
Исследователи кибербезопасности обнаружили новое вредоносное ПО под названием PLAYFULGHOST, обладающее широкими функциями сбора информации. Среди его возможностей — кейлоггинг, захват экрана и аудио, удалённый доступ через командную строку, а также передача и выполнение файлов.
Как отмечает команда Google Cloud Security, это вредоносное ПО имеет сходства с Gh0st RAT, известным инструментом удалённого администрирования, исходный код которого был раскрыт в далёком 2008 году. Основными путями заражения PLAYFULGHOST становятся фишинговые письма и SEO-подмена.
В одном из случаев фишинга злоумышленники использовали RAR-архив, замаскированный под изображение с расширением «.jpg». После извлечения и запуска архив загружает на устройство вредоносный исполняемый файл, который в конечном итоге скачивает и активирует PLAYFULGHOST с удалённого сервера.
Другой метод заражения через SEO-подмену предполагает загрузку установщика LetsVPN, содержащего промежуточный вредоносный код, ответственный за установку компонентов вредоносного ПО.
Для выполнения атаки злоумышленники используют методы, такие DLL Hijacking и DLL Sideloading, чтобы запустить вредоносную библиотеку, которая загружает и расшифровывает PLAYFULGHOST в памяти устройства. В сложных сценариях выполняется комбинация нескольких файлов для формирования вредоносной DLL с использованием модифицированной версии утилиты Curl.
PLAYFULGHOST закрепляется в системе через ключи реестра, планировщик задач, папку автозагрузки и службы Windows. Вредоносное ПО способно собирать данные о нажатиях клавиш, скриншоты, аудио, информацию об учётных записях, содержимое буфера обмена, метаданные системы и установленных антивирусных продуктов. Оно также может блокировать ввод с клавиатуры и мыши, очищать журналы событий Windows, удалять кэш браузеров, профили мессенджеров и выполнять другие опасные операции.
Кроме того, PLAYFULGHOST может распространять дополнительные инструменты, включая Mimikatz и руткиты, скрывающие файлы и процессы. Одним из таких инструментов является Terminator, использующий уязвимости драйверов для уничтожения процессов безопасности. На одном из этапов анализа эксперты зафиксировали, что PLAYFULGHOST распространяется с помощью загрузчика BOOSTWAVE, использующего shell-код для внедрения вредоносных исполняемых файлов.
Целевые приложения, такие как Sogou, QQ и 360 Safety, а также приманки в виде LetsVPN указывают на возможный фокус на китаеязычных пользователей Windows. Ранее, в июле 2024 года, канадская компания eSentire сообщала об аналогичных вредоносных операциях, где для распространения Gh0st RAT использовались поддельные установщики Google Chrome.
