InforSec News: PLAYFULGHOST được phân phối trong các ứng dụng VPN bị Trojan hóa

Top Block Position

PLAYFULGHOST được phân phối trong các ứng dụng VPN bị Trojan hóa

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại mã độc mới có tên gọi PLAYFULGHOST, được trang bị nhiều tính năng thu thập thông tin như ghi lại thao tác bàn phím keylogging, chụp màn hình, ghi âm, điều khiển từ xa remote shell và truyền/thực thi tệp tin.

Backdoor này có chung chức năng với một công cụ quản trị từ xa nổi tiếng có tên Gh0st RAT, có mã nguồn bị rò rỉ công khai vào năm 2008.

Các bước truy cập ban đầu của PLAYFULGHOST bao gồm việc sử dụng các email lừa đảo hoặc kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO) để phân phối các phiên bản trojan hóa của các ứng dụng VPN hợp pháp như LetsVPN. Trong một trường hợp lừa đảo, quá trình lây nhiễm bắt đầu bằng cách lừa nạn nhân mở tệp RAR độc hại được ngụy trang dưới dạng tệp hình ảnh bằng cách sử dụng phần mở rộng .jpg. Khi nạn nhân giải nén và thực thi sẽ thả một tệp thực thi Windows độc hại, cuối cùng sẽ tải xuống và thực thi PLAYFULGHOST từ máy chủ từ xa.

PLAYFULGHOST sử dụng các phương pháp tinh vi để lây nhiễm vào hệ thống. Bằng cách "hijack" thứ tự tìm kiếm DLL và sử dụng kỹ thuật side-loading, để khởi chạy một DLL độc hại. DLL này sau đó được sử dụng để giải mã và tải PLAYFULGHOST vào bộ nhớ.

PLAYFULGHOST có khả năng thiết lập tính bền vững trên máy chủ bằng bốn phương pháp khác nhau: Chạy registry, lập tác vụ theo lịch trình, thư mục Khởi động Windows và Windows service, cho phép thu thập dữ liệu phong phú, bao gồm tổ hợp phím, ảnh chụp màn hình, âm thanh, thông tin tài khoản QQ, các sản phẩm bảo mật đã cài đặt, nội dung bộ nhớ tạm và metadata hệ thống.

Một số công cụ khác được triển khai thông qua PLAYFULGHOST là Mimikatz và một rootkit có khả năng ẩn registry, tệp và tiến trình do tác nhân đe dọa chỉ định. Cùng với đó là một tiện ích nguồn mở có tên Terminator có thể ngừng các tiến trình bảo mật.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
```
Máy tính để bàn ảo VDI.
```
```
Lưu trữ dữ liệu Drive.
```

Quản lý dịch vụ công nghệ thông tin ITSM.

Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học