PLAYFULGHOST: Новый уровень угроз и атаки на пользователей

Изображение: www.secureblink.com
В последние месяцы эксперты по кибербезопасности заметили появление сложной вредоносной программы под названием PLAYFULGHOST, которая нацелена на пользователей с помощью кейлоггинга, захвата экрана и эксплойтов на уровне ядра. Эта программа обладает функциональными возможностями, схожими с Gh0st RAT, что усиливает опасность для безопасности данных и систем.
Методы атаки и цели
Основная задача PLAYFULGHOST заключается в сборе информации, осуществляемом через различные методы, включая:
- фишинговые электронные письма;
- SEO-атаки;
- взлом законных VPN-приложений.
Векторы атак, используемые этой вредоносной программой, включают фишинговые письма с вложениями, замаскированными под файлы изображений, а также троянские версии популярных VPN-приложений.
Технологии уклонения и сохранение работоспособности
PLAYFULGHOST использует ряд продвинутых методов уклонения от обнаружения. К ним относятся:
- перехват порядка поиска DLL-файлов;
- сторонняя загрузка для запуска вредоносных DLL-файлов в памяти.
Эта вредоносная программа обеспечивает себя различными механизмами для поддержания активной работы даже после перезагрузки систем.
Сбор информации и дополнительные функции
PLAYFULGHOST проводит обширный сбор информации, включая:
- запись нажатий клавиш;
- создание скриншотов;
- запись аудио;
- похищение системных метаданных;
- сбор данных из различных учетных записей и продуктов безопасности.
Кроме того, программа способна сбрасывать дополнительную полезную нагрузку, скрывать записи реестра, файлы и процессы, а также отключать средства защиты.
Нацеливание на китайскоязычных пользователей
Анализ указывает на то, что PLAYFULGHOST в основном нацелен на китайскоязычных пользователей Windows. Это соответствует предыдущим атакам, в которых также использовалась Gh0st RAT.
Технологические аспекты угрозы
Хакеры, разрабатывающие PLAYFULGHOST, активно используют уязвимости в драйверах оборудования для получения доступа на уровне ядра. Атаки BYOVD, использующие уязвимости в уязвимых драйверах, применяются такими группами, как Lazarus Group и группами программ-вымогателей. Эти атаки могут отключать средства безопасности и повышать привилегии пользователей.
Предотвращение угроз и шаги Microsoft
Инструмент Terminator, используемый операторами PLAYFULGHOST, доступен для покупки на форумах по киберпреступности по сравнительно низкой цене. В ответ на эти угрозы корпорация Microsoft предприняла шаги по защите уязвимых драйверов и устранению эксплойтов BYOVD с помощью:
- блокировок уязвимых драйверов;
- дополнительных мер безопасности.
Рекомендации по борьбе с PLAYFULGHOST
Обнаружение PLAYFULGHOST подчеркивает сложность современных кибератак. Чтобы снизить риски, специалисты по кибербезопасности должны использовать решения EDR/XDR и блокировать уязвимые драйверы, активировав список заблокированных драйверов компании Microsoft. Постоянное информирование о возникающих угрозах и внедрение комплексных стратегий защиты имеют решающее значение для снижения подверженности передовым вредоносным кампаниям.
Организации должны активно внедрять новейшие технологии безопасности и передовые методы защиты от появляющихся хакеров, таких как PLAYFULGHOST.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.



