Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 6 Gennaio 2025 17:03
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware chiamato PLAYFULGHOST che ha ampie capacità di raccolta di informazioni. Le sue funzionalità includono keylogging, acquisizione di schermate e audio, accesso remoto alla riga di comando e trasferimento ed esecuzione di file.
Come sottolinea il team di Google Cloud Security, questo malware presenta somiglianze con Gh0st RAT, un noto strumento di amministrazione remota il cui codice sorgente è stato divulgato nel 2008. Le principali vie di infezione di PLAYFULGHOST sono le e-mail di phishing e lo spoofing SEO.
In uno dei casi di phishing gli aggressori hanno utilizzato un archivio RAR mascherato da immagine con estensione “.jpg”. Una volta estratto ed eseguito, l’archivio scarica un file eseguibile dannoso sul dispositivo, che alla fine scarica e attiva PLAYFULGHOST da un server remoto.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un altro metodo di infezione tramite spoofing SEO prevede il download del programma di installazione LetsVPN, che contiene codice dannoso intermedio responsabile dell’installazione di componenti malware.
Per effettuare l’attacco, gli aggressori utilizzano tecniche come DLL Hijacking e DLL Sideloading per lanciare una libreria dannosa che carica e decrittografa PLAYFULGHOST nella memoria del dispositivo. In scenari complessi, più file vengono combinati per formare una DLL dannosa utilizzando una versione modificata dell’utilità Curl.
PLAYFULGHOST viene fissato nel sistema tramite chiavi di registro, pianificazione delle attività, cartella di avvio e servizi Windows. Il malware è in grado di raccogliere dati digitati, screenshot, audio, informazioni sull’account, contenuti degli appunti, metadati di sistema e prodotti antivirus installati. Può anche bloccare l’input da tastiera e mouse, cancellare i registri eventi di Windows, eliminare le cache del browser, i profili di messaggistica ed eseguire altre operazioni pericolose.
Inoltre, PLAYFULGHOST può distribuire strumenti aggiuntivi, inclusi Mimikatz e rootkit che nascondono file e processi. Uno di questi strumenti è Terminator, che sfrutta le vulnerabilità dei driver per distruggere i processi di sicurezza. Ad un certo punto dell’analisi, gli esperti hanno registrato che PLAYFULGHOST viene distribuito utilizzando il caricatore BOOSTWAVE, che utilizza il codice shell per iniettare file eseguibili dannosi.
App mirate come Sogou, QQ e 360 Safety, nonché esche sotto forma di LetsVPN, indicano una possibile attenzione agli utenti Windows di lingua cinese. In precedenza, nel luglio 2024, la società canadese eSentire aveva segnalato operazioni dannose simili in cui venivano utilizzati falsi programmi di installazione di Google Chrome per distribuire Gh0st RAT.
Redazione
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009