Peneliti keamanan siber telah menandai malware baru yang disebut HANTU BERMAIN yang dilengkapi dengan berbagai fitur pengumpulan informasi seperti keylogging, tangkapan layar, tangkapan audio, shell jarak jauh, dan transfer/eksekusi file.
Pintu belakang, menurut tim Managed Defense Google, memiliki fungsi yang tumpang tindih dengan alat administrasi jarak jauh yang dikenal sebagai Gh0st RAT, yang kode sumbernya bocor ke publik pada tahun 2008.
Jalur akses awal PLAYFULGHOST mencakup penggunaan email phishing yang memuat kode perilaku terkait umpan atau teknik peracunan optimasi mesin pencari (SEO) untuk mendistribusikan versi aplikasi VPN resmi yang di-trojan seperti LetsVPN.
“Dalam satu kasus phishing, infeksi dimulai dengan menipu korban untuk membuka arsip RAR berbahaya yang disamarkan sebagai file gambar dengan menggunakan ekstensi .jpg,” kata perusahaan itu. “Ketika diekstraksi dan dieksekusi oleh korban, arsip tersebut menjatuhkan executable Windows berbahaya, yang pada akhirnya mengunduh dan mengeksekusi PLAYFULGHOST dari server jarak jauh.”
Sebaliknya, rantai serangan yang menggunakan keracunan SEO berupaya menipu pengguna yang tidak menaruh curiga agar mengunduh penginstal yang mengandung malware untuk LetsVPN, yang, ketika diluncurkan, akan menjatuhkan muatan sementara yang bertanggung jawab untuk mengambil komponen pintu belakang.
Infeksi ini terkenal karena memanfaatkan metode seperti pembajakan urutan pencarian DLL dan pemuatan samping untuk meluncurkan DLL berbahaya yang kemudian digunakan untuk mendekripsi dan memuat PLAYFULGHOST ke dalam memori.
Mandiant mengatakan pihaknya juga mengamati “skenario eksekusi yang lebih canggih” di mana pintasan Windows (“QQLaunch.lnk”) file, menggabungkan konten dari dua file lain bernama “h” dan “t” untuk membuat DLL jahat dan melakukan sideload menggunakan a berganti nama menjadi versi “curl.exe.”
PLAYFULGHOST mampu mengatur persistensi pada host menggunakan empat metode berbeda: Jalankan kunci registri, tugas terjadwal, folder Startup Windows, dan layanan Windows. Ini menawarkan serangkaian fitur ekstensif yang memungkinkannya mengumpulkan data ekstensif, termasuk penekanan tombol, tangkapan layar, audio, informasi akun QQ, produk keamanan yang diinstal, konten papan klip, dan metadata sistem.
Ia juga dilengkapi dengan kemampuan untuk menghapus lebih banyak muatan, memblokir input mouse dan keyboard, menghapus log peristiwa Windows, menghapus data clipboard, melakukan operasi file, menghapus cache dan profil yang terkait dengan browser web seperti Sogou, QQ, 360 Safety, Firefox, dan Google Chrome , dan menghapus profil dan penyimpanan lokal untuk aplikasi perpesanan seperti Skype, Telegram, dan QQ.
Beberapa alat lain yang digunakan melalui PLAYFULGHOST adalah Mimikatz dan rootkit yang mampu menyembunyikan registri, file, dan proses yang ditentukan oleh pelaku ancaman. Juga dihilangkan bersamaan dengan pengunduhan komponen PLAYFULGHOST adalah utilitas sumber terbuka bernama Terminator yang dapat mematikan proses keamanan melalui serangan Bring Your Own Vulnerable Driver (BYOVD).
“Pada suatu kesempatan, Mandiant mengamati muatan PLAYFULGHOST tertanam dalam BOOSTWAVE,” kata raksasa teknologi itu. “BOOSTWAVE adalah kode shell yang bertindak sebagai penetes dalam memori untuk muatan Portable Executable (PE) yang ditambahkan.”
Penargetan aplikasi seperti Sogou, QQ, dan 360 Safety serta penggunaan umpan LetsVPN meningkatkan kemungkinan bahwa infeksi ini menargetkan pengguna Windows berbahasa Mandarin. Pada bulan Juli 2024, vendor keamanan siber Kanada eSentire mengungkapkan kampanye serupa yang memanfaatkan pemasang palsu untuk Google Chrome untuk menyebarkan Gh0st RAT menggunakan dropper yang dijuluki Gh0stGambit.
