محققان امنیت سایبری بدافزار جدید PLAYFULGHOST را که دارای طیف وسیعی از ویژگیهای جمعآوری اطلاعات مانند keylogging، ضبط صفحه و صدا، شِل از راه دور و انتقال/اجرای فایل است، شناسایی کردهاند.
دربپشتی با ابزار مدیریت راه دور شناخته شده به نام Gh0st RAT که کد منبع آن در سال 2008 به طور عمومی فاش شد، همپوشانیهای عملکردی دارد. مسیرهای دسترسی اولیه PLAYFULGHOST شامل استفاده از ایمیلهای فیشینگ حاوی کدهای فریبهای مرتبط با رفتار یا تکنیکهای آلودهسازی SEO برای توزیع نسخههای تروجانشده اپهای VPN قانونی مانند LetsVPN است. آلودگی با فریب قربانی برای باز کردن آرشیو RAR مخرب که به عنوان فایل تصویری با استفاده از پسوند jpg پنهان شده، شروع میشود.
پس از استخراج و اجرا توسط قربانی، آرشیو یک فایل اجرایی مخرب ویندوز را دراپ میکند که در نهایت PLAYFULGHOST را از سرور راه دور دانلود و اجرا میکند. از سوی دیگر، زنجیرههای حملهای که از آلودگی SEO استفاده میکنند، به دنبال فریب کاربران ناآگاه جهت دانلود یک نصبکننده بدافزار برای LetsVPN هستند که هنگام راهاندازی، یک پیلود موقت مسئول بازیابی مؤلفههای درب پشتی را دراپ میکند.
https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html
