MÜNCHEN (IT BOLTWISE) – Eine neue Malware namens PLAYFULGHOST sorgt für Aufsehen in der Cybersecurity-Welt. Diese Bedrohung, die durch Phishing und SEO-Poisoning in VPN-Apps verbreitet wird, stellt eine erhebliche Gefahr für Nutzer dar.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Entdeckung der Malware PLAYFULGHOST hat in der Cybersecurity-Community für Aufsehen gesorgt. Diese Schadsoftware, die von Sicherheitsforschern als äußerst gefährlich eingestuft wird, nutzt eine Vielzahl von Methoden, um Informationen zu sammeln. Dazu gehören Keylogging, Bildschirm- und Audiomitschnitte sowie der Zugriff auf entfernte Shells und Dateiübertragungen. Laut dem Managed Defense Team von Google weist PLAYFULGHOST funktionale Überschneidungen mit dem bekannten Remote-Administration-Tool Gh0st RAT auf, dessen Quellcode bereits 2008 öffentlich wurde.
PLAYFULGHOST nutzt verschiedene Zugangswege, um Systeme zu infizieren. Dazu gehören Phishing-E-Mails mit Verhaltenskodex-bezogenen Ködern und SEO-Poisoning-Techniken, um trojanisierte Versionen legitimer VPN-Apps wie LetsVPN zu verbreiten. In einem Fall wurde das Opfer durch eine bösartige RAR-Archivdatei getäuscht, die als Bilddatei mit einer .jpg-Erweiterung getarnt war. Nach dem Entpacken und Ausführen durch das Opfer lädt das Archiv eine schädliche Windows-Executable herunter, die schließlich PLAYFULGHOST von einem entfernten Server ausführt.
SEO-Poisoning-Angriffsketten zielen darauf ab, ahnungslose Benutzer dazu zu bringen, einen mit Malware verseuchten Installer für LetsVPN herunterzuladen. Beim Starten wird eine Zwischen-Payload abgelegt, die für das Abrufen der Backdoor-Komponenten verantwortlich ist. Die Infektion nutzt Methoden wie DLL-Suchreihenfolge-Hijacking und Side-Loading, um eine bösartige DLL zu starten, die dann verwendet wird, um PLAYFULGHOST im Speicher zu entschlüsseln und zu laden.
Besonders bemerkenswert ist die Fähigkeit von PLAYFULGHOST, auf dem Host-System persistente Präsenz zu etablieren. Dies geschieht durch vier verschiedene Methoden: Run-Registry-Schlüssel, geplante Aufgaben, Windows-Startordner und Windows-Dienste. Die Malware verfügt über eine umfangreiche Funktionspalette, die es ihr ermöglicht, umfassende Daten zu sammeln, darunter Tastenanschläge, Screenshots, Audio, QQ-Kontoinformationen, installierte Sicherheitsprodukte, Zwischenablageinhalte und Systemmetadaten.
Zusätzlich zu diesen Funktionen kann PLAYFULGHOST weitere Payloads ablegen, Maus- und Tastatureingaben blockieren, Windows-Ereignisprotokolle löschen, Zwischenablagedaten löschen, Dateioperationen durchführen und Caches sowie Profile von Webbrowsern wie Sogou, QQ, 360 Safety, Firefox und Google Chrome löschen. Auch Profile und lokaler Speicher von Messaging-Anwendungen wie Skype, Telegram und QQ werden gelöscht. Zu den weiteren über PLAYFULGHOST eingesetzten Tools gehören Mimikatz und ein Rootkit, das in der Lage ist, vom Bedrohungsakteur spezifizierte Registrierungen, Dateien und Prozesse zu verbergen.
Eine weitere Bedrohung stellt das mitgelieferte Open-Source-Utility namens Terminator dar, das Sicherheitsprozesse durch einen Bring Your Own Vulnerable Driver (BYOVD)-Angriff beenden kann. In einem Fall wurde eine PLAYFULGHOST-Payload innerhalb von BOOSTWAVE eingebettet, einer Shellcode, die als In-Memory-Dropper für eine angehängte Portable Executable (PE)-Payload fungiert. Die Zielanwendungen wie Sogou, QQ und 360 Safety sowie die Verwendung von LetsVPN-Ködern deuten darauf hin, dass diese Infektionen chinesischsprachige Windows-Nutzer ins Visier nehmen.
Im Juli 2024 enthüllte ein kanadischer Cybersecurity-Anbieter eine ähnliche Kampagne, die gefälschte Installer für Google Chrome nutzte, um Gh0st RAT mit einem als Gh0stGambit bezeichneten Dropper zu verbreiten. Diese Entwicklungen unterstreichen die Notwendigkeit erhöhter Wachsamkeit und verbesserter Sicherheitsmaßnahmen, um sich gegen solche Bedrohungen zu schützen.
Amazon-Trendangebote der letzten 24 Stunden mit bis zu 78% Rabatt (Sponsored)
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "PLAYFULGHOST: Bedrohliche Malware in VPN-Apps entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.