PLAYFULGHOST Geleverd via phishing en SEO-vergiftiging in VPN-apps met Trojaanse paarden

Cybersecurity-onderzoekers hebben een nieuwe malware gemarkeerd genaamd SPEELSE GEEST dat wordt geleverd met een breed scala aan functies voor het verzamelen van informatie, zoals keylogging, schermopname, audio-opname, externe shell en bestandsoverdracht/-uitvoering.

Volgens het Managed Defense-team van Google deelt de achterdeur functionele overlappingen met een bekende tool voor extern beheer, Gh0st RAT genaamd, waarvan de broncode in 2008 openbaar werd gelekt.

De initiële toegangswegen van PLAYFULGHOST omvatten het gebruik van phishing-e-mails met gedragscodes of vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO) om getrojaniseerde versies van legitieme VPN-apps zoals LetsVPN te verspreiden.

“In één phishing-zaak begint de infectie door het slachtoffer te misleiden om een ​​kwaadaardig RAR-archief te openen, vermomd als een afbeeldingsbestand, met behulp van een .jpg-extensie”, aldus het bedrijf. “Wanneer het archief door het slachtoffer wordt uitgepakt en uitgevoerd, wordt er een kwaadaardig Windows-uitvoerbaar bestand neergezet, dat uiteindelijk PLAYFULGHOST downloadt en uitvoert vanaf een externe server.”

Aanvalsketens die gebruik maken van SEO-vergiftiging proberen nietsvermoedende gebruikers te misleiden om een ​​met malware geregen installatieprogramma voor LetsVPN te downloaden, dat, wanneer het wordt gelanceerd, een tussentijdse lading laat vallen die verantwoordelijk is voor het ophalen van de achterdeurcomponenten.

De infectie valt op door het gebruik van methoden zoals het kapen van DLL-zoekopdrachten en side-loading om een ​​kwaadaardige DLL te starten die vervolgens wordt gebruikt om PLAYFULGHOST te decoderen en in het geheugen te laden.

Mandiant zei dat het ook een “meer geavanceerd uitvoeringsscenario” heeft waargenomen waarin een Windows-snelkoppeling (“QQLaunch.lnk”) bestand de inhoud combineert van twee andere bestanden genaamd “h” en “t” om de frauduleuze DLL te construeren en deze te sideloaden met behulp van een hernoemde versie van “curl.exe.”

Trojaanse VPN-apps

PLAYFULGHOST kan persistentie op de host instellen met behulp van vier verschillende methoden: Registersleutel uitvoeren, geplande taak, Windows Opstartmap en Windows-service. Het beschikt over een uitgebreide reeks functies waarmee het uitgebreide gegevens kan verzamelen, waaronder toetsaanslagen, schermafbeeldingen, audio, QQ-accountinformatie, geïnstalleerde beveiligingsproducten, klembordinhoud en systeemmetagegevens.

Het wordt ook geleverd met mogelijkheden om meer payloads te verwijderen, muis- en toetsenbordinvoer te blokkeren, Windows-gebeurtenislogboeken te wissen, klembordgegevens te wissen, bestandsbewerkingen uit te voeren, caches en profielen te verwijderen die zijn gekoppeld aan webbrowsers zoals Sogou, QQ, 360 Safety, Firefox en Google Chrome en wis profielen en lokale opslag voor berichtentoepassingen zoals Skype, Telegram en QQ.

Enkele van de andere tools die via PLAYFULGHOST worden ingezet, zijn Mimikatz en een rootkit die het register, bestanden en processen kan verbergen die door de bedreigingsacteur zijn gespecificeerd. Tegelijk met het downloaden van PLAYFULGHOST-componenten wordt ook een open-source hulpprogramma genaamd Terminator gedropt, dat beveiligingsprocessen kan beëindigen door middel van een Bring Your Own Vulnerable Driver (BYOVD)-aanval.

“Bij één gelegenheid zag Mandiant een PLAYFULGHOST-payload ingebed in BOOSTWAVE”, zei de technologiegigant. “BOOSTWAVE is een shellcode die fungeert als dropper in het geheugen voor een toegevoegde Portable Executable (PE) payload.”

Het aanvallen van applicaties als Sogou, QQ en 360 Safety en het gebruik van LetsVPN-lokmiddelen verhogen de mogelijkheid dat deze infecties zich richten op Chineessprekende Windows-gebruikers. In juli 2024 onthulde de Canadese cyberbeveiligingsleverancier eSentire een soortgelijke campagne waarbij nep-installatieprogramma’s voor Google Chrome werden ingezet om Gh0st RAT te verspreiden met behulp van een dropper genaamd Gh0stGambit.

Thijs Van der Does