Redazione RHC : 6 Gennaio 2025 17:03
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware chiamato PLAYFULGHOST che ha ampie capacità di raccolta di informazioni. Le sue funzionalità includono keylogging, acquisizione di schermate e audio, accesso remoto alla riga di comando e trasferimento ed esecuzione di file.
Come sottolinea il team di Google Cloud Security, questo malware presenta somiglianze con Gh0st RAT, un noto strumento di amministrazione remota il cui codice sorgente è stato divulgato nel 2008. Le principali vie di infezione di PLAYFULGHOST sono le e-mail di phishing e lo spoofing SEO.
In uno dei casi di phishing gli aggressori hanno utilizzato un archivio RAR mascherato da immagine con estensione “.jpg”. Una volta estratto ed eseguito, l’archivio scarica un file eseguibile dannoso sul dispositivo, che alla fine scarica e attiva PLAYFULGHOST da un server remoto.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un altro metodo di infezione tramite spoofing SEO prevede il download del programma di installazione LetsVPN, che contiene codice dannoso intermedio responsabile dell’installazione di componenti malware.
Per effettuare l’attacco, gli aggressori utilizzano tecniche come DLL Hijacking e DLL Sideloading per lanciare una libreria dannosa che carica e decrittografa PLAYFULGHOST nella memoria del dispositivo. In scenari complessi, più file vengono combinati per formare una DLL dannosa utilizzando una versione modificata dell’utilità Curl.
PLAYFULGHOST viene fissato nel sistema tramite chiavi di registro, pianificazione delle attività, cartella di avvio e servizi Windows. Il malware è in grado di raccogliere dati digitati, screenshot, audio, informazioni sull’account, contenuti degli appunti, metadati di sistema e prodotti antivirus installati. Può anche bloccare l’input da tastiera e mouse, cancellare i registri eventi di Windows, eliminare le cache del browser, i profili di messaggistica ed eseguire altre operazioni pericolose.
Inoltre, PLAYFULGHOST può distribuire strumenti aggiuntivi, inclusi Mimikatz e rootkit che nascondono file e processi. Uno di questi strumenti è Terminator, che sfrutta le vulnerabilità dei driver per distruggere i processi di sicurezza. Ad un certo punto dell’analisi, gli esperti hanno registrato che PLAYFULGHOST viene distribuito utilizzando il caricatore BOOSTWAVE, che utilizza il codice shell per iniettare file eseguibili dannosi.
App mirate come Sogou, QQ e 360 Safety, nonché esche sotto forma di LetsVPN, indicano una possibile attenzione agli utenti Windows di lingua cinese. In precedenza, nel luglio 2024, la società canadese eSentire aveva segnalato operazioni dannose simili in cui venivano utilizzati falsi programmi di installazione di Google Chrome per distribuire Gh0st RAT.
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006