网络安全研究人员发现一种名为PLAYFULGHOST的新恶意软件，它具有多种信息收集功能，例如键盘记录、屏幕捕获、音频捕获、远程 shell 以及文件传输/执行。

据谷歌安全团队称，该后门与一种名为Gh0st RAT 的已知远程管理工具在功能上存在重叠，后者的源代码于 2008 年被公开泄露。

PLAYFULGHOST 的初始访问途径包括使用带有行为准则相关诱饵的网络钓鱼电子邮件或搜索引擎优化 (SEO) 投毒技术来分发 LetsVPN 等合法 VPN 应用程序的木马版本。

在一个网络钓鱼案例中，感染首先诱骗受害者打开一个伪装成图像文件的恶意 RAR 存档，并使用 .jpg 扩展名。

当受害者提取并执行该存档时，该存档会释放一个恶意的 Windows 可执行文件，最终从远程服务器下载并执行 PLAYFULGHOST。

另一方面，采用 SEO 投毒的攻击链试图欺骗毫无戒心的用户下载带有恶意软件的 LetsVPN 安装程序，该安装程序在启动时会投放负责检索后门组件的临时有效载荷。

该感染利用 DLL 搜索顺序劫持和侧载等方法来启动恶意 DLL，然后用于解密并将 PLAYFULGHOST 加载到内存中。

Mandiant 表示，它还观察到一个“更复杂的执行场景”，其中 Windows 快捷方式（“QQLaunch.lnk”）文件结合了另外两个名为“h”和“t”的文件的内容来构建恶意 DLL，并使用重命名版本的“curl.exe”对其进行侧载。

PLAYFULGHOST 能够使用四种不同的方法在主机上设置持久性：运行注册表项、计划任务、Windows 启动文件夹和 Windows 服务。

它拥有一套广泛的功能，可以收集大量数据，包括击键、屏幕截图、音频、QQ帐户信息、已安装的安全产品、剪贴板内容和系统元数据。

它还具有投放更多有效载荷、阻止鼠标和键盘输入、清除 Windows 事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和Google Chrome等网络浏览器相关的缓存和配置文件以及擦除Skype、Telegram和QQ等消息应用程序的配置文件和本地存储等功能。

通过 PLAYFULGHOST 部署的其他工具包括 Mimikatz 和能够隐藏威胁组织指定的注册表、文件和进程的 rootkit。

与 PLAYFULGHOST 组件一起下载的还有一个名为Terminator的开源实用程序，它可以通过自带易受攻击的驱动程序 ( BYOVD ) 攻击来终止安全进程。

Mandiant 发现 PLAYFULGHOST 有效载荷嵌入在 BOOSTWAVE 中。BOOSTWAVE 是一种 shellcode，可充当附加可移植可执行 (PE) 有效载荷的内存植入程序。

恶意攻击针对搜狗、QQ 和 360 安全等应用程序以及使用 LetsVPN 诱饵，这些感染可能针对的是讲中文的 Windows 用户。

2024 年 7 月，加拿大网络安全供应商 eSentire披露了一项类似的活动，该活动利用 Google Chrome 的虚假安装程序，使用名为 Gh0stGambit 的植入程序传播 Gh0st RAT。

技术报告：

https://www.googlecloudcommunity.com/gc/Community-Blog/Finding-Malware-Unveiling-PLAYFULGHOST-with-Google-Security/ba-p/850676

https://www.esentire.com/blog/a-dropper-for-deploying-gh0st-rat

新闻链接：

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html