Redazione RHC : 6 Gennaio 2025 17:03
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware chiamato PLAYFULGHOST che ha ampie capacità di raccolta di informazioni. Le sue funzionalità includono keylogging, acquisizione di schermate e audio, accesso remoto alla riga di comando e trasferimento ed esecuzione di file.
Come sottolinea il team di Google Cloud Security, questo malware presenta somiglianze con Gh0st RAT, un noto strumento di amministrazione remota il cui codice sorgente è stato divulgato nel 2008. Le principali vie di infezione di PLAYFULGHOST sono le e-mail di phishing e lo spoofing SEO.
In uno dei casi di phishing gli aggressori hanno utilizzato un archivio RAR mascherato da immagine con estensione “.jpg”. Una volta estratto ed eseguito, l’archivio scarica un file eseguibile dannoso sul dispositivo, che alla fine scarica e attiva PLAYFULGHOST da un server remoto.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un altro metodo di infezione tramite spoofing SEO prevede il download del programma di installazione LetsVPN, che contiene codice dannoso intermedio responsabile dell’installazione di componenti malware.
Per effettuare l’attacco, gli aggressori utilizzano tecniche come DLL Hijacking e DLL Sideloading per lanciare una libreria dannosa che carica e decrittografa PLAYFULGHOST nella memoria del dispositivo. In scenari complessi, più file vengono combinati per formare una DLL dannosa utilizzando una versione modificata dell’utilità Curl.
PLAYFULGHOST viene fissato nel sistema tramite chiavi di registro, pianificazione delle attività, cartella di avvio e servizi Windows. Il malware è in grado di raccogliere dati digitati, screenshot, audio, informazioni sull’account, contenuti degli appunti, metadati di sistema e prodotti antivirus installati. Può anche bloccare l’input da tastiera e mouse, cancellare i registri eventi di Windows, eliminare le cache del browser, i profili di messaggistica ed eseguire altre operazioni pericolose.
Inoltre, PLAYFULGHOST può distribuire strumenti aggiuntivi, inclusi Mimikatz e rootkit che nascondono file e processi. Uno di questi strumenti è Terminator, che sfrutta le vulnerabilità dei driver per distruggere i processi di sicurezza. Ad un certo punto dell’analisi, gli esperti hanno registrato che PLAYFULGHOST viene distribuito utilizzando il caricatore BOOSTWAVE, che utilizza il codice shell per iniettare file eseguibili dannosi.
App mirate come Sogou, QQ e 360 Safety, nonché esche sotto forma di LetsVPN, indicano una possibile attenzione agli utenti Windows di lingua cinese. In precedenza, nel luglio 2024, la società canadese eSentire aveva segnalato operazioni dannose simili in cui venivano utilizzati falsi programmi di installazione di Google Chrome per distribuire Gh0st RAT.
RedazioneLa Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...
Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
