详细内容或原文请订阅后点击阅览
PLAYFULGHOST 后门支持多种信息窃取功能
PLAYFULGHOST 是一个新的恶意软件家族,具有键盘记录、屏幕和音频捕获、远程 shell 访问以及文件传输/执行等功能。 Google 研究人员分析了一个名为 PLAYFULGHOST 的新恶意软件家族,该家族支持多种功能,包括键盘记录、屏幕和音频捕获、远程 shell 以及文件传输/执行。PLAYFULGHOST 后门与 Gh0st RAT 共享功能,后者的源代码于 […] 公开发布
来源:Security Affairs _恶意软件PLAYFULGHOST 后门支持多种信息窃取功能
PLAYFULGHOST 后门支持多种信息窃取功能
PLAYFULGHOST 是一个新的恶意软件家族,具有键盘记录、屏幕和音频捕获、远程 shell 访问以及文件传输/执行等功能。
Google 研究人员分析了一个名为 PLAYFULGHOST 的新恶意软件家族,该恶意软件支持多种功能,包括键盘记录、屏幕和音频捕获、远程 shell 以及文件传输/执行。
PLAYFULGHOSTPLAYFULGHOST 后门与 2008 年公开发布源代码的 Gh0st RAT 具有共同的功能。
Gh0st RAT该后门通过以下方式分发:
- 以“行为准则”等为主题的网络钓鱼电子邮件,诱骗用户下载恶意软件。将恶意代码与 LetsVPN 等流行应用程序捆绑在一起,并通过 SEO 投毒进行分发。
在研究人员分析的一个案例中,攻击链首先诱骗受害者打开一个伪装成图像文件的恶意 RAR 存档,使用 .jpg 扩展名。执行存档后,它会释放一个恶意的 Windows 可执行文件,最终从远程服务器下载并执行 PLAYFULGHOSTpayload。
另一方面,SEO 中毒感染会诱骗受害者下载 LetsVPN 等软件的木马安装程序,然后从远程服务器下载后门组件。
PLAYFULGHOST 使用 DLL 搜索顺序劫持和侧载来执行恶意 DLL,Mandiant 研究人员观察到一个复杂的场景,涉及 Windows 快捷方式并重命名为“curl.exe”来侧载恶意软件。
QQLaunch.lnk”。 h” t” libcurl.dll” 报告 QQLaunch.exe” TIM.exe” CURL TIM.exe libcurl.dll” PLAYFULGHOST Debug.log” PLAYFULGHOST