Дослідники кібербезпеки виявили нове шкідливе ПЗ, яке здатне до багатьох методів збору інформації, таких як захоплення екрану, захоплення звуку, віддалена оболонка (яка дозволяє зловмиснику запускати подальші атаки), кейлоггінг, а також передача і виконання файлів. Він називається PLAYFULGHOST і, як відомо, розповсюджується за допомогою фішингу або SEO-отруєння, які потім поширюють троянізовані VPN-програми.
Здатний налаштовувати постійне перебування на комп’ютері чотирма різними способами (запуск розділу реєстру, заплановане завдання, папка автозавантаження Windows і служба Windows), набір функцій шкідливого програмного забезпечення PLAYFULGHOST дозволяє йому збирати великий набір даних. Включаючи натискання клавіш і скріншоти; він також може збирати аудіо, інформацію про обліковий запис QQ, встановлені продукти безпеки, вміст буфера обміну і системні метадані.
Шкідливе програмне забезпечення також здатне скидати більше корисного навантаження, блокувати введення за допомогою миші або клавіатури, очищати журнали подій Windows, стирати дані буфера обміну, виконувати файлові операції, видаляти кеш, видаляти профілі веб-браузерів, а також стирати профілі та сховища програм обміну повідомленнями.
Крім того, він може розгортати Mimikatz, додаток з відкритим вихідним кодом, який може видобувати паролі, руткіт, здатний приховувати реєстр, файли і процеси, вказані зловмисником, а також утиліту з відкритим вихідним кодом під назвою Terminator, яка може вбивати процеси безпеки за допомогою атаки BYOVD (Bring Your Own Vulnerable Driver).
Як шкідливе ПЗ PLAYFULGHOST може потрапити на ваш пристрій?
Спосіб, яким PLAYFULGHOST отримує доступ, або його початковий шлях до вашої системи, зазвичай – це фішинговий електронний лист, який містить приманку зі згадкою про порушення кодексу поведінки, проблему або питання; також відомо, що він використовує методи SEO-отруєння для розсилки шкідливої версії легітимного VPN-додатку, такого як LetsVPN.
Одна жертва була обманута, відкривши шкідливий RAR-архів, замаскований під файл зображення з розширенням .jpg, який потім скинув шкідливий виконуваний файл Windows. Той, у свою чергу, завантажував і запускав PLAYFULGHOST з віддаленого сервера. Команда Managed Defense компанії Google заявила, що цей бекдор має схожу функціональність з Gh0st RAT, вихідний код якого був публічно викладений у 2008 році.
Атаки SEO-отруєння намагаються змусити жертв завантажити шкідливе програмне забезпечення з інсталяторами для LetsVPN, які потім скидають проміжне корисне навантаження, що витягує компоненти бекдору.
Зараження PLAYFULGHOST використовує перехоплення порядку пошуку DLL і бічне завантаження для запуску шкідливої DLL, яка використовується для розшифровки і завантаження PLAYFULGHOST в пам’ять. Також було помічено використання комбінованих ярликів Windows, які використовують декілька файлів для створення несанкціонованої DLL, щоб завантажити її в перейменовану версію.
Як захиститися від PLAYFULGHOST
Оскільки PLAYFULGHOST використовує фішинг як метод, найкращий спосіб уникнути його – це знати поширені фішингові методи і переконатися, що ви можете їх виявити. Надавайте особисту інформацію тільки законним веб-сайтам і компаніям. Ніколи не переходьте за неочікуваним посиланням або вкладенням – якщо ви знаєте відправника, зв’яжіться з ним напряму, щоб дізнатися, що він надіслав і чому, перш ніж переходити за ним.
Якщо ви не очікуєте порушення кодексу поведінки, не переходьте за посиланням в електронному листі. Спочатку зв’яжіться з відправником або вашим відділом кадрів, щоб дізнатися про цей лист. Завантажуйте додатки лише з веб-сайтів, на які ви перейшли самостійно, а не з надісланих вам посилань.
Якщо ваша компанія зв’язується з вами з приводу термінового питання щодо вашого акаунта, не натискайте нічого в електронному листі, тексті або повідомленні. Замість цього перейдіть безпосередньо на їхній веб-сайт в адресному рядку браузера, введіть їхню веб-адресу вручну і самостійно введіть дані для входу в обліковий запис. Таким чином, ви зможете переконатися, що ви правильно написали назву компанії. (Поширеним фішинговим прийомом є неправильне написання назви компанії з «0» замість «o»).
Дотримуйтесь найкращих практик роботи з вашими онлайн-акаунтами: Ніколи не використовуйте паролі повторно, пам’ятайте, що ви завжди можете скористатися менеджером паролів, який допоможе зберегти ваші паролі в безпеці. Використовуйте двофакторну автентифікацію, коли це можливо. Тримайте одну з найкращих антивірусних програм актуальною, оновленою та запущеною на всіх ваших пристроях – як на ПК, так і на мобільних пристроях.
