Siber güvenlik araştırmacıları yeni bir kötü amaçlı yazılımı işaretledi. OYUN HAYALET tuş günlüğü tutma, ekran yakalama, ses yakalama, uzak kabuk ve dosya aktarımı/yürütme gibi çok çeşitli bilgi toplama özellikleriyle birlikte gelir.
Google’ın Yönetilen Savunma ekibine göre arka kapı, kaynak kodu 2008’de kamuya sızdırılan, Gh0st RAT olarak adlandırılan bilinen bir uzaktan yönetim aracıyla işlevsel örtüşmeler paylaşıyor.
PLAYFULGHOST’un ilk erişim yolları, LetsVPN gibi meşru VPN uygulamalarının truva atı haline getirilmiş sürümlerini dağıtmak için davranışla ilgili yem kodları içeren kimlik avı e-postalarının veya arama motoru optimizasyonu (SEO) zehirleme tekniklerinin kullanımını içerir.
Şirket, “Bir kimlik avı vakasında enfeksiyon, kurbanın .jpg uzantısını kullanarak görüntü dosyası olarak gizlenen kötü amaçlı bir RAR arşivini açması için kandırılmasıyla başlıyor” dedi. “Kurban tarafından çıkartılıp yürütüldüğünde arşiv, kötü amaçlı bir Windows çalıştırılabilir dosyası bırakıyor ve bu dosya sonunda PLAYFULGHOST’u uzaktaki bir sunucudan indirip çalıştırıyor.”
Öte yandan, SEO zehirlenmesi kullanan saldırı zincirleri, şüphelenmeyen kullanıcıları LetsVPN için kötü amaçlı yazılım içeren bir yükleyici indirmeleri konusunda kandırmaya çalışıyor; bu yükleyici, başlatıldığında arka kapı bileşenlerini almaktan sorumlu geçici bir yükü bırakıyor.
Enfeksiyon, DLL arama sırasının ele geçirilmesi ve daha sonra PLAYFULGHOST’un şifresini çözmek ve belleğe yüklemek için kullanılan kötü amaçlı bir DLL’yi başlatmak için yandan yükleme gibi yöntemlerden yararlanma açısından dikkate değerdir.
Mandiant ayrıca, bir Windows kısayol dosyasının (“QQLaunch.lnk”) sahte DLL’yi oluşturmak ve bir harici dosya kullanarak onu yüklemek için “h” ve “t” adlı diğer iki dosyanın içeriğini birleştirdiği “daha karmaşık bir yürütme senaryosu” gözlemlediğini söyledi. “curl.exe” sürümünün yeniden adlandırılması.
PLAYFULGHOST, dört farklı yöntemi kullanarak ana bilgisayarda kalıcılık ayarlama yeteneğine sahiptir: Kayıt defteri anahtarını çalıştırma, zamanlanmış görev, Windows Başlangıç klasörü ve Windows hizmeti. Tuş vuruşları, ekran görüntüleri, ses, QQ hesap bilgileri, yüklü güvenlik ürünleri, pano içeriği ve sistem meta verileri dahil olmak üzere kapsamlı verileri toplamasına olanak tanıyan kapsamlı bir dizi özelliğe sahiptir.
Ayrıca daha fazla veriyi kaldırma, fare ve klavye girişini engelleme, Windows olay günlüklerini temizleme, pano verilerini silme, dosya işlemlerini gerçekleştirme, Sogou, QQ, 360 Safety, Firefox ve Google Chrome gibi web tarayıcılarıyla ilişkili önbellekleri ve profilleri silme yetenekleriyle birlikte gelir. ve Skype, Telegram ve QQ gibi mesajlaşma uygulamalarına yönelik profilleri ve yerel depolamayı silin.
PLAYFULGHOST aracılığıyla dağıtılan diğer araçlardan bazıları Mimikatz ve kayıt defterini, dosyaları ve tehdit aktörü tarafından belirtilen işlemleri gizleyebilen bir rootkit’tir. PLAYFULGHOST bileşenlerinin indirilmesiyle birlikte ayrıca, Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı yoluyla güvenlik süreçlerini ortadan kaldırabilen, Terminatör adı verilen açık kaynaklı bir yardımcı program da düştü.
Teknoloji devi, “Bir keresinde Mandiant, BOOSTWAVE’e bir PLAYFULGHOST yükünün yerleştirildiğini gözlemledi” dedi. “BOOSTWAVE, eklenen Taşınabilir Yürütülebilir (PE) veri yükü için bellek içi damlalık görevi gören bir kabuk kodudur.”
Sogou, QQ ve 360 Safety gibi uygulamaların hedeflenmesi ve LetsVPN yemlerinin kullanılması, bu enfeksiyonların Çince konuşan Windows kullanıcılarını hedef alma olasılığını artırıyor. Temmuz 2024’te Kanadalı siber güvenlik satıcısı eSentire, Gh0stGambit adlı bir damlalık kullanarak Gh0st RAT’ı yaymak için Google Chrome için sahte yükleyicilerden yararlanan benzer bir kampanyayı ortaya çıkardı.