Clicky

PLAYFULGHOST se distribuye mediante phishing y envenenamiento SEO en aplicaciones VPN troyanizadas

PLAYFULGHOST

La infección comienza engañando a la víctima para que abra un archivo RAR malicioso

Investigadores de ciberseguridad han detectado un nuevo malware llamado PLAYFULGHOST que viene con una amplia gama de funciones de recopilación de información, como registro de teclas, captura de pantalla, captura de audio, shell remoto y transferencia/ejecución de archivos.

Según el equipo de Managed Defense de Google, la puerta trasera comparte superposiciones funcionales con una conocida herramienta de administración remota denominada Gh0st RAT, cuyo código fuente se filtró públicamente en 2008.

Las vías de acceso iniciales de PLAYFULGHOST incluyen el uso de correos electrónicos de phishing que contienen señuelos relacionados con códigos de conducta o técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para distribuir versiones troyanizadas de aplicaciones VPN legítimas como LetsVPN.

"En un caso de phishing, la infección comienza engañando a la víctima para que abra un archivo RAR malicioso disfrazado de archivo de imagen utilizando una extensión .jpg", dijo la compañía. "Cuando la víctima lo extrae y lo ejecuta, el archivo descarga un ejecutable malicioso de Windows, que finalmente descarga y ejecuta PLAYFULGHOST desde un servidor remoto".

Por otro lado, las cadenas de ataque que emplean envenenamiento SEO buscan engañar a usuarios desprevenidos para que descarguen un instalador cargado de malware para LetsVPN, el cual, cuando se ejecuta, deja caer una carga útil provisional responsable de recuperar los componentes de la puerta trasera.

La infección se destaca por aprovechar métodos como el secuestro del orden de búsqueda de DLL y la carga lateral para lanzar una DLL maliciosa que luego se utiliza para descifrar y cargar PLAYFULGHOST en la memoria.

Mandiant dijo que también observó un "escenario de ejecución más sofisticado" en el que un archivo de acceso directo de Windows ("QQLaunch.lnk") combina el contenido de otros dos archivos llamados "h" y "t" para construir la DLL maliciosa y cargarla utilizando una versión renombrada de "curl.exe".

QQLaunch

PLAYFULGHOST es capaz de configurar la persistencia en el host utilizando cuatro métodos diferentes: ejecutar clave de registro, tarea programada, carpeta de inicio de Windows y servicio de Windows. Cuenta con un amplio conjunto de características que le permiten recopilar datos extensos, incluidas pulsaciones de teclas, capturas de pantalla, audio, información de la cuenta QQ, productos de seguridad instalados, contenido del portapapeles y metadatos del sistema.

También viene con capacidades para colocar más cargas útiles, bloquear la entrada del mouse y del teclado, borrar registros de eventos de Windows, borrar datos del portapapeles, realizar operaciones de archivos, eliminar cachés y perfiles asociados con navegadores web como Sogou, QQ, 360 Safety, Firefox y Google Chrome, y borrar perfiles y almacenamiento local para aplicaciones de mensajería como Skype, Telegram y QQ.

Algunas de las otras herramientas implementadas a través de PLAYFULGHOST son Mimikatz y un rootkit capaz de ocultar registros, archivos y procesos especificados por el actor de la amenaza. También se incluye junto con la descarga de los componentes de PLAYFULGHOST una utilidad de código abierto llamada Terminator que puede matar procesos de seguridad mediante un ataque Bring Your Own Vulnerable Driver (BYOVD).

"En una ocasión, Mandiant observó que se estaba incorporando una carga útil PLAYFULGHOST en BOOSTWAVE", dijo el gigante tecnológico. "BOOSTWAVE es un código shell que actúa como un dropper en memoria para una carga útil ejecutable portátil (PE) adjunta".

El ataque a aplicaciones como Sogou, QQ y 360 Safety y el uso de señuelos LetsVPN aumentan la posibilidad de que estas infecciones estén dirigidas a usuarios de Windows que hablan chino. En julio de 2024, el proveedor canadiense de ciberseguridad eSentire reveló una campaña similar que aprovechaba falsos instaladores para Google Chrome para propagar Gh0st RAT usando un cuentagotas denominado Gh0stGambit.

Jesus_Caceres