Programa malicioso PLAYFULGHOST
Los expertos en ciberseguridad han identificado una nueva amenaza emergente denominada PLAYFULGHOST, una puerta trasera equipada con un amplio espectro de funciones de recolección de información, que incluyen registro de teclas, captura de pantalla y audio, acceso remoto a shell y capacidades de transferencia o ejecución de archivos.
Tabla de contenido
Una conexión con la Gh0st RAT
PLAYFULGHOST presenta similitudes funcionales con Gh0st RAT , una conocida herramienta de administración remota que se volvió ampliamente disponible después de que se filtrara su código fuente en 2008. Esto sugiere que los actores de amenazas detrás de PLAYFULGHOST pueden haberse basado en la base de la herramienta anterior al tiempo que introducían mejoras para expandir sus capacidades.
Vectores de infección inicial
Los actores de amenazas detrás de PLAYFULGHOST emplean múltiples técnicas para obtener acceso inicial a los sistemas de destino. Estas incluyen campañas de phishing que aprovechan temas relacionados con códigos de conducta y tácticas de envenenamiento de SEO para distribuir versiones troyanizadas de aplicaciones VPN legítimas como LetsVPN.
En un escenario de ataque de phishing, las víctimas son engañadas para que abran un archivo RAR dañado que se hace pasar por un archivo de imagen mediante el uso de una extensión ".jpg" engañosa. Cuando se extrae y se ejecuta, el archivo descarga un ejecutable dañino de Windows, que luego recupera y ejecuta PLAYFULGHOST desde un servidor remoto.
Por otro lado, el envenenamiento SEO se utiliza para atraer a usuarios desprevenidos a que descarguen un instalador de LetsVPN comprometido. Al ejecutarse, este instalador despliega una carga intermedia que recupera y activa los componentes principales de la puerta trasera.
Tácticas avanzadas de evasión y ejecución
PLAYFULGHOST se basa en varias técnicas de sigilo para eludir la detección y establecerse en sistemas comprometidos. Estas incluyen el secuestro de órdenes de búsqueda de DLL y la carga lateral de DLL para introducir una DLL comprometida, que luego descifra e inyecta la puerta trasera en la memoria.
En un método de ejecución más elaborado, los investigadores observaron el uso de un archivo de acceso directo de Windows ('QQLaunch.lnk'), que combina dos archivos adicionales ('h' y 't') para generar una DLL maliciosa. Esta DLL se instala mediante una versión renombrada de 'curl.exe', lo que garantiza una implementación encubierta de la puerta trasera.
Persistencia y recopilación de datos
Una vez instalado, PLAYFULGHOST se mantiene en el sistema infectado mediante diversas técnicas, entre las que se incluyen la modificación del registro de Windows (tecla Ejecutar), la creación de tareas programadas, la adición de entradas a la carpeta de inicio de Windows y el registro como servicio de Windows.
Las capacidades de la puerta trasera le permiten recopilar una amplia gama de información confidencial, incluidas pulsaciones de teclas, capturas de pantalla, grabaciones de audio, datos del portapapeles, detalles del software de seguridad instalado, metadatos del sistema y credenciales de la cuenta QQ. Además, puede ejecutar comandos para interrumpir las interacciones del usuario bloqueando las entradas del teclado y el mouse, alterando los registros de eventos y borrando el contenido del portapapeles.
PLAYFULGHOST también exhibe capacidades de manipulación de archivos, lo que le permite borrar cachés y perfiles de navegadores de aplicaciones como Sogou, QQ, 360 Safety, Firefox y Google Chrome. También puede eliminar perfiles y almacenamiento local asociados con plataformas de mensajería como Skype, Telegram y QQ.
Implementación de herramientas adicionales
Además de PLAYFULGHOST, se ha observado que los actores de amenazas implementan herramientas complementarias para reforzar su control sobre los sistemas infectados. Entre ellas se encuentran Mimikatz , una conocida herramienta de volcado de credenciales, y un rootkit diseñado para ocultar entradas de registro, archivos y procesos específicos. Además, se presenta una utilidad de código abierto llamada Terminator para desactivar los mecanismos de seguridad a través de una técnica Bring Your Own Vulnerable Driver (BYOVD).
En al menos un caso, PLAYFULGHOST se ha incorporado a BOOSTWAVE, un cuentagotas en memoria basado en shellcode que facilita la implementación de cargas útiles ejecutables portátiles (PE) adjuntas.
Un posible grupo demográfico objetivo
El enfoque en aplicaciones como Sogou, QQ y 360 Safety, combinado con el uso de LetsVPN como señuelo, sugiere que esta campaña apunta principalmente a los usuarios de Windows de habla china. Sin embargo, las capacidades avanzadas de PLAYFULGHOST indican un potencial de explotación más amplio más allá de este grupo demográfico específico.
