Bir Gh0st RAT çeşidi olan PLAYFULGHOST, kimlik avı e-postaları ve paketlenmiş uygulamaların SEO zehirlenmesi yoluyla yayılan farklı trafik modellerinden ve şifrelemeden yararlanarak keylogging, ekran yakalama ve diğer kötü amaçlı uzaktan erişim özelliklerini etkinleştirir.
Bir kimlik avı kampanyası, kötü amaçlı bir RAR arşivi sunmak için yem olarak .jpg dosyasını kullandı. Çıkarma ve yürütme sonrasında arşiv, Windows’ta çalıştırılabilir bir dosya yayınladı ve bu dosya daha sonra uzak bir sunucudan PLAYFULGHOST olarak bilinen kötü amaçlı yazılımı indirip çalıştırdı.
SEO zehirlenmesi kampanyası, yasal yazılım görünümüne bürünmüş kötü niyetli bir yükleyiciyi içeriyor ve yürütüldükten sonra uzaktaki bir sunucudan PLAYFULGHOST da dahil olmak üzere ek kötü amaçlı bileşenler indirip kuruyor.
Kötü amaçlı süreç, PLAYFULGHOST bileşenlerini indiriyor; savunmasız bir yürütülebilir dosya, PLAYFULGHOST yükünün şifresini çözen ve belleğe yükleyen, DLL arama sırası ele geçirmesinden yararlanan kötü amaçlı bir DLL dosyası yüklüyor.
Araştırmacılar iki PLAYFULGHOST kötü amaçlı yazılım yürütme senaryosu gözlemledi; senaryo 1’de yeniden adlandırılan Tencent svchost.exe, 3.TXT yükü sağlayan QiDianBrowserMgr.dll adlı kötü amaçlı bir DLL yükledi; senaryo 2’de ise yeniden adlandırılmış bir curl.exe (TIM.exe) kullanıldı. ) bir Debug.log verisi sağlamak için libcurl.dll’yi yükledi.
PLAYFULGHOST’un yanı sıra bir kabuk kodu düşürücü olan BOOSTWAVE, güvenlik yazılımını sonlandırmaya yönelik bir araç olan TERMINATOR, kötü amaçlı etkinlikleri gizlemeye yönelik bir rootkit olan QAssist.sys ve CHROMEUSERINFO.dll’nin bulunması, Google Chrome kimlik bilgilerini çalma niyetini gösteriyor.
Mandiat araştırmacılarına göre, bu araçların yardımıyla saldırgan, tespitten kaçınma, kalıcılığı sürdürme ve veri sızdırma konularına odaklandığını gösterebiliyor.
Kayıt defteri anahtarı girişleri, zamanlanmış görevler, başlangıç klasörü de dahil olmak üzere bir dizi mekanizma kombinasyonundan yararlanarak sistemde varlığını sürdürür ve ayrıca güçlü arka plan işlemleri için bir Windows Hizmeti kullanabilir.
PLAYFULGHOST, veri hırsızlığı (keylogging, ekran görüntüleri, ses), dosya manipülasyonu, uzaktan yürütme (kabuk, RDP), ayrıcalık yükseltme ve adli tıp karşıtı teknikler dahil olmak üzere uzaktan sistem kontrolü yapabilen gelişmiş bir kötü amaçlı yazılımdır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin