PLAYFULGHOST: Новый уровень угроз и атаки на пользователей

PLAYFULGHOST: Новый уровень угроз и атаки на пользователей

Изображение: www.secureblink.com

В последние месяцы эксперты по кибербезопасности заметили появление сложной вредоносной программы под названием PLAYFULGHOST, которая нацелена на пользователей с помощью кейлоггинга, захвата экрана и эксплойтов на уровне ядра. Эта программа обладает функциональными возможностями, схожими с Gh0st RAT, что усиливает опасность для безопасности данных и систем.

Методы атаки и цели

Основная задача PLAYFULGHOST заключается в сборе информации, осуществляемом через различные методы, включая:

  • фишинговые электронные письма;
  • SEO-атаки;
  • взлом законных VPN-приложений.

Векторы атак, используемые этой вредоносной программой, включают фишинговые письма с вложениями, замаскированными под файлы изображений, а также троянские версии популярных VPN-приложений.

Технологии уклонения и сохранение работоспособности

PLAYFULGHOST использует ряд продвинутых методов уклонения от обнаружения. К ним относятся:

  • перехват порядка поиска DLL-файлов;
  • сторонняя загрузка для запуска вредоносных DLL-файлов в памяти.

Эта вредоносная программа обеспечивает себя различными механизмами для поддержания активной работы даже после перезагрузки систем.

Сбор информации и дополнительные функции

PLAYFULGHOST проводит обширный сбор информации, включая:

  • запись нажатий клавиш;
  • создание скриншотов;
  • запись аудио;
  • похищение системных метаданных;
  • сбор данных из различных учетных записей и продуктов безопасности.

Кроме того, программа способна сбрасывать дополнительную полезную нагрузку, скрывать записи реестра, файлы и процессы, а также отключать средства защиты.

Нацеливание на китайскоязычных пользователей

Анализ указывает на то, что PLAYFULGHOST в основном нацелен на китайскоязычных пользователей Windows. Это соответствует предыдущим атакам, в которых также использовалась Gh0st RAT.

Технологические аспекты угрозы

Хакеры, разрабатывающие PLAYFULGHOST, активно используют уязвимости в драйверах оборудования для получения доступа на уровне ядра. Атаки BYOVD, использующие уязвимости в уязвимых драйверах, применяются такими группами, как Lazarus Group и группами программ-вымогателей. Эти атаки могут отключать средства безопасности и повышать привилегии пользователей.

Предотвращение угроз и шаги Microsoft

Инструмент Terminator, используемый операторами PLAYFULGHOST, доступен для покупки на форумах по киберпреступности по сравнительно низкой цене. В ответ на эти угрозы корпорация Microsoft предприняла шаги по защите уязвимых драйверов и устранению эксплойтов BYOVD с помощью:

  • блокировок уязвимых драйверов;
  • дополнительных мер безопасности.

Рекомендации по борьбе с PLAYFULGHOST

Обнаружение PLAYFULGHOST подчеркивает сложность современных кибератак. Чтобы снизить риски, специалисты по кибербезопасности должны использовать решения EDR/XDR и блокировать уязвимые драйверы, активировав список заблокированных драйверов компании Microsoft. Постоянное информирование о возникающих угрозах и внедрение комплексных стратегий защиты имеют решающее значение для снижения подверженности передовым вредоносным кампаниям.

Организации должны активно внедрять новейшие технологии безопасности и передовые методы защиты от появляющихся хакеров, таких как PLAYFULGHOST.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: