Logiciel malveillant PLAYFULGHOST
Les experts en cybersécurité ont identifié une nouvelle menace émergente baptisée PLAYFULGHOST, une porte dérobée dotée d'un large éventail de fonctions de collecte d'informations. Cela comprend l'enregistrement de frappe, la capture d'écran et audio, l'accès à distance au shell et les capacités de transfert ou d'exécution de fichiers.
Table des matières
Une connexion avec le RAT fantôme
PLAYFULGHOST présente des similitudes fonctionnelles avec Gh0st RAT , un outil d'administration à distance bien connu qui est devenu largement disponible après la fuite de son code source en 2008. Cela suggère que les acteurs de la menace derrière PLAYFULGHOST ont peut-être construit sur les fondations de l'ancien outil tout en introduisant des améliorations pour étendre ses capacités.
Vecteurs d’infection initiaux
Les auteurs de la menace PLAYFULGHOST emploient plusieurs techniques pour obtenir un accès initial aux systèmes ciblés. Il s'agit notamment de campagnes de phishing qui exploitent des thèmes liés au code de conduite et des tactiques d'empoisonnement SEO pour distribuer des versions trojanisées d'applications VPN légitimes telles que LetsVPN.
Dans le cadre d'une attaque de phishing, les victimes sont amenées à ouvrir une archive RAR corrompue qui se fait passer pour un fichier image en utilisant une extension trompeuse « .jpg ». Une fois extraite et exécutée, l'archive dépose un exécutable Windows nuisible, qui récupère et lance ensuite PLAYFULGHOST à partir d'un serveur distant.
L'empoisonnement SEO, en revanche, est utilisé pour inciter les utilisateurs sans méfiance à télécharger un programme d'installation LetsVPN compromis. Une fois exécuté, ce programme d'installation déploie une charge utile intermédiaire, qui récupère et active les composants principaux de la porte dérobée.
Tactiques avancées d’évasion et d’exécution
PLAYFULGHOST utilise diverses techniques de furtivité pour échapper à la détection et s'implanter sur les systèmes compromis. Il s'agit notamment du détournement de l'ordre de recherche de DLL et du chargement latéral de DLL pour introduire une DLL compromise, qui décrypte ensuite et injecte la porte dérobée dans la mémoire.
Dans une méthode d'exécution plus élaborée, les chercheurs ont observé l'utilisation d'un fichier de raccourci Windows ('QQLaunch.lnk'), qui combine deux fichiers supplémentaires ('h' et 't') pour générer une DLL malveillante. Cette DLL est chargée via une version renommée de 'curl.exe', ce qui garantit un déploiement secret de la porte dérobée.
Persistance et collecte de données
Une fois installé, PLAYFULGHOST établit une persistance sur le système infecté à l'aide de plusieurs techniques. Il s'agit notamment de modifier le registre Windows (touche Exécuter), de créer des tâches planifiées, d'ajouter des entrées au dossier de démarrage de Windows et de s'enregistrer en tant que service Windows.
Les capacités de la porte dérobée lui permettent de collecter un large éventail d'informations sensibles, notamment les frappes au clavier, les captures d'écran, les enregistrements audio, les données du presse-papiers, les détails des logiciels de sécurité installés, les métadonnées du système et les identifiants du compte QQ. De plus, elle peut exécuter des commandes pour perturber les interactions des utilisateurs en bloquant les entrées au clavier et à la souris, en falsifiant les journaux d'événements et en effaçant le contenu du presse-papiers.
PLAYFULGHOST dispose également de capacités de manipulation de fichiers, lui permettant d'effacer les caches et les profils des navigateurs d'applications telles que Sogou, QQ, 360 Safety, Firefox et Google Chrome. Il peut également supprimer les profils et le stockage local associés aux plateformes de messagerie telles que Skype, Telegram et QQ.
Déploiement d’outils supplémentaires
Parallèlement à PLAYFULGHOST, les acteurs malveillants ont été observés en train de déployer des outils supplémentaires pour renforcer leur contrôle sur les systèmes infectés. Parmi ceux-ci figurent Mimikatz , un outil bien connu de vidage d'identifiants, et un rootkit conçu pour masquer des entrées de registre, des fichiers et des processus spécifiques. De plus, un utilitaire open source appelé Terminator est introduit pour désactiver les mécanismes de sécurité via une technique BYOVD (Bring Your Own Vulnerable Driver).
Dans au moins un cas, PLAYFULGHOST a été intégré dans BOOSTWAVE, un dropper en mémoire basé sur un shellcode qui facilite le déploiement de charges utiles exécutables portables (PE) ajoutées.
Une cible démographique possible
L'accent mis sur des applications telles que Sogou, QQ et 360 Safety, combiné à l'utilisation de LetsVPN comme leurre, suggère que cette campagne vise principalement les utilisateurs Windows parlant chinois. Cependant, les capacités avancées de PLAYFULGHOST indiquent un potentiel d'exploitation plus large au-delà de ce groupe démographique spécifique.
