MÜNCHEN (IT BOLTWISE) – Eine neue Malware namens PLAYFULGHOST sorgt für Aufsehen in der Cybersecurity-Welt. Diese Bedrohung, die durch Phishing und SEO-Poisoning in VPN-Apps verbreitet wird, stellt eine erhebliche Gefahr für Nutzer dar.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Entdeckung der Malware PLAYFULGHOST hat in der Cybersecurity-Community für Aufsehen gesorgt. Diese Schadsoftware, die von Sicherheitsforschern als äußerst gefährlich eingestuft wird, nutzt eine Vielzahl von Methoden, um Informationen zu sammeln. Dazu gehören Keylogging, Bildschirm- und Audiomitschnitte sowie der Zugriff auf entfernte Shells und Dateiübertragungen. Laut dem Managed Defense Team von Google weist PLAYFULGHOST funktionale Überschneidungen mit dem bekannten Remote-Administration-Tool Gh0st RAT auf, dessen Quellcode bereits 2008 öffentlich wurde.
PLAYFULGHOST nutzt verschiedene Zugangswege, um Systeme zu infizieren. Dazu gehören Phishing-E-Mails mit Verhaltenskodex-bezogenen Ködern und SEO-Poisoning-Techniken, um trojanisierte Versionen legitimer VPN-Apps wie LetsVPN zu verbreiten. In einem Fall wurde das Opfer durch eine bösartige RAR-Archivdatei getäuscht, die als Bilddatei mit einer .jpg-Erweiterung getarnt war. Nach dem Entpacken und Ausführen durch das Opfer lädt das Archiv eine schädliche Windows-Executable herunter, die schließlich PLAYFULGHOST von einem entfernten Server ausführt.
SEO-Poisoning-Angriffsketten zielen darauf ab, ahnungslose Benutzer dazu zu bringen, einen mit Malware verseuchten Installer für LetsVPN herunterzuladen. Beim Starten wird eine Zwischen-Payload abgelegt, die für das Abrufen der Backdoor-Komponenten verantwortlich ist. Die Infektion nutzt Methoden wie DLL-Suchreihenfolge-Hijacking und Side-Loading, um eine bösartige DLL zu starten, die dann verwendet wird, um PLAYFULGHOST im Speicher zu entschlüsseln und zu laden.
Besonders bemerkenswert ist die Fähigkeit von PLAYFULGHOST, auf dem Host-System persistente Präsenz zu etablieren. Dies geschieht durch vier verschiedene Methoden: Run-Registry-Schlüssel, geplante Aufgaben, Windows-Startordner und Windows-Dienste. Die Malware verfügt über eine umfangreiche Funktionspalette, die es ihr ermöglicht, umfassende Daten zu sammeln, darunter Tastenanschläge, Screenshots, Audio, QQ-Kontoinformationen, installierte Sicherheitsprodukte, Zwischenablageinhalte und Systemmetadaten.
Zusätzlich zu diesen Funktionen kann PLAYFULGHOST weitere Payloads ablegen, Maus- und Tastatureingaben blockieren, Windows-Ereignisprotokolle löschen, Zwischenablagedaten löschen, Dateioperationen durchführen und Caches sowie Profile von Webbrowsern wie Sogou, QQ, 360 Safety, Firefox und Google Chrome löschen. Auch Profile und lokaler Speicher von Messaging-Anwendungen wie Skype, Telegram und QQ werden gelöscht. Zu den weiteren über PLAYFULGHOST eingesetzten Tools gehören Mimikatz und ein Rootkit, das in der Lage ist, vom Bedrohungsakteur spezifizierte Registrierungen, Dateien und Prozesse zu verbergen.
Eine weitere Bedrohung stellt das mitgelieferte Open-Source-Utility namens Terminator dar, das Sicherheitsprozesse durch einen Bring Your Own Vulnerable Driver (BYOVD)-Angriff beenden kann. In einem Fall wurde eine PLAYFULGHOST-Payload innerhalb von BOOSTWAVE eingebettet, einer Shellcode, die als In-Memory-Dropper für eine angehängte Portable Executable (PE)-Payload fungiert. Die Zielanwendungen wie Sogou, QQ und 360 Safety sowie die Verwendung von LetsVPN-Ködern deuten darauf hin, dass diese Infektionen chinesischsprachige Windows-Nutzer ins Visier nehmen.
Im Juli 2024 enthüllte ein kanadischer Cybersecurity-Anbieter eine ähnliche Kampagne, die gefälschte Installer für Google Chrome nutzte, um Gh0st RAT mit einem als Gh0stGambit bezeichneten Dropper zu verbreiten. Diese Entwicklungen unterstreichen die Notwendigkeit erhöhter Wachsamkeit und verbesserter Sicherheitsmaßnahmen, um sich gegen solche Bedrohungen zu schützen.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "PLAYFULGHOST: Bedrohliche Malware in VPN-Apps entdeckt".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "PLAYFULGHOST: Bedrohliche Malware in VPN-Apps entdeckt" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "PLAYFULGHOST: Bedrohliche Malware in VPN-Apps entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.