Spyware PLAYFULGHOST sa ti môže dostať do zariadenia cez aplikáciu, ktorá ťa má chrániť
Spyware PLAYFULGHOST sa šíri hlavne cez phishing SEO poisoning. Experti na bezpečnosť ho odhalili v aplikácií, ktorá má chrániť tvoje súkromie.
Kybernetickí odborníci identifikovali nový malvér s názvom PLAYFULGHOST, ktorý predstavuje vážnu hrozbu pre tvoju online bezpečnosť, uvádza googlecloudcommunity.com. Tento malvér disponuje širokkou škálu nebezpečných funkcií, vrátane zaznamenávania stlačení klávesov (tzv. keylogging), vytvárania snímok obrazovky, záznamu zvuku, vzdialeného prístupu a prenosu súborov.
Známy nástroj, nový problém
Podľa výskumníkov z tímu Mandiant Managed Defense malvér PLAYFULGHOST zdieľa mnoho charakteristík so známym malwarom Gh0st RAT, ktorého zdrojový kód je online od roku 2008. Tento malvér sa zameriava primárne na zhromažďovanie citlivých údajov zo zariadenia obete.
Ako sa šíri PLAYFULGHOST?
Existujú rôzne spôsoby, ako sa PLAYFULGHOST môže dostať do tvojho zariadenia. Jednou z hlavných techník je phishing, kde útočníci zasielajú e-maily obsahujúce škodlivé prílohy alebo odkazy. Útočníkom ale nie je neznáma ani technika SEO poisoning, ktorá sa zameriava na oklamanie používateľov, aby si stiahli trójske verzie aplikácií VPN, ako je napríklad LetsVPN.
Tento inštalátor potom spustí ďalší škodlivý súbor, ktorý stiahne komponenty PLAYFULGHOST. Táto technika (SEO poisoning) spočíva v tom, že hackeri optimalizujú stránky so škodlivým softvérom tak, aby sa umiestňovali vysoko vo výsledkoch vyhľadávania vo vyhľadávačoch ako Google, Bing a ďalších.
V jednom prípade experti na bezpečnosť odhalili, že škodlivý softvér sa schovával za obrázkový súbor s príponou .jpg. Po jeho spustení sa do systému nainštaloval malvér, ktorý stiahne a spustí PLAYFULGHOST zo vzdialeného servera.
Neprehliadni
PLAYFULGHOST využíva pokročilé techniky na inštaláciu a pretrvávanie v operačnom systéme. Napríklad DLL hijacking (únos príkazu vyhľadávania DLL) umožňuje spustenie záškodníckej knižnice DLL, ktorá následne načíta malvér do pamäte počítača. Ide o formu kybernetického útoku, pri ktorom útočník využíva slabiny vo Windows systéme, aby nahradil alebo podstrčil škodlivú knižnicu DLL (Dynamic Link Library). Táto knižnica je potom načítaná legitímnou aplikáciou, čo útočníkovi umožňuje vykonať škodlivý kód na infikovanom zariadení.
Pre lepšiu ilustráciu si predstav DLL ako „krabičku s nástrojmi“, pre programy. Tie v počítači si do nej chodia po nástroje alebo inštrukcie, ktoré potrebujú na prácu. Ak útočník vytvorí svoju vlastnú, škodlivú DLL krabičku s rovnakým menom, program si ju môže „pomýliť“ s tou správnou a načítať ju.
V infikovanom systéme dokáže zostať dlho nepozorovaný
Nebezpečná na tomto škodlivom softvéri je, že dokáže pomerne dlho zostať nepozorovaný v systéme obete. Využíva na to niekoľko metód. Medzi jeho schopnosti patrí napríklad pridanie záznamu do Run registry kľúčov, vďaka čomu sa vie automaticky spustiť pri zapnutí zariadenia. Taktiež pridáva odkaz do zložky Startup, aby došlo k jeho automatickému spusteniu pri štarte počítača.
Ďalej disponuje schopnosťou plánovania úloh (Scheduled Tasks). Funguje to podobne, ako si nastavíš budík na určitý čas, PLAYFULGHOST si naplánuje úlohu v systéme, aby sa spustil pravidelne alebo pri konkrétnych podmienkach. Čerešničkou na torte je, že sa dokáže maskovať za Windows služby s cieľom, aby zostal nepozorovaný v infikovanom zariadení. To robí z neho ťažko odstrániteľný vírus.
PLAYFULGHOST je „profík“ medzi vírusmi
Ako sme už spomínali, malvér PLAYFULGHOST disponuje rozsiahlou sadov nástrojov, ktoré mu umožňujú vykonávať rôzne škodlivé činnosti. Medzi jeho schopnosti patrí zaznamenávanie stlačení klávesov a vytváranie snímkami obrazovky, ako aj vytvárať záznamy zvuku. Tento malvér tiež zhromažďuje informácie o nainštalovaných bezpečnostných produktoch a má prístup k schránke a systémovým metadátam. Okrem toho je schopný odstraňovať dáta a vymazávať históriu v internetových prehliadačoch, ako sú Google Chrome, Firefox, Sogou a ďalšie.
Vo všeobecnosti, PLAYFULGHOST je škodlivý softvér navrhnutý na krádež citlivých informácií a špionáž v infikovanom zariadení.
Komentáre