Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • PLAYFULGHOST entregado mediante phishing y envenenamiento de SEO en aplicaciones VPN troyanizadas
  • Tecnología

PLAYFULGHOST entregado mediante phishing y envenenamiento de SEO en aplicaciones VPN troyanizadas

teknomers 4 de Ocak de 2025 (Last updated: 4 de Ocak de 2025) 4 minutes read
PLAYFULGHOST entregado mediante phishing y envenenamiento de SEO en aplicaciones


04 de enero de 2025Ravie LakshmananMalware/seguridad VPN

Los investigadores de ciberseguridad han detectado un nuevo malware llamado FANTASMA JUGUETON que viene con una amplia gama de funciones de recopilación de información como registro de teclas, captura de pantalla, captura de audio, shell remoto y transferencia/ejecución de archivos.

La puerta trasera, según el equipo de Defensa Gestionada de Google, comparte superposiciones funcionales con una conocida herramienta de administración remota conocida como Gh0st RAT, cuyo código fuente se filtró públicamente en 2008.

Las vías de acceso inicial de PLAYFULGHOST incluyen el uso de correos electrónicos de phishing que contienen códigos de señuelos relacionados con la conducta o técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para distribuir versiones troyanizadas de aplicaciones VPN legítimas como LetsVPN.

Ciberseguridad

“En un caso de phishing, la infección comienza engañando a la víctima para que abra un archivo RAR malicioso disfrazado de archivo de imagen utilizando una extensión .jpg”, dijo la empresa. dicho. “Cuando la víctima lo extrae y lo ejecuta, el archivo descarga un ejecutable malicioso de Windows, que eventualmente descarga y ejecuta PLAYFULGHOST desde un servidor remoto”.

Las cadenas de ataques que emplean envenenamiento de SEO, por otro lado, buscan engañar a los usuarios desprevenidos para que descarguen un instalador con malware para LetsVPN, que, cuando se inicia, arroja una carga útil provisional responsable de recuperar los componentes de la puerta trasera.

La infección se destaca por aprovechar métodos como el secuestro del orden de búsqueda de DLL y la carga lateral para iniciar una DLL maliciosa que luego se usa para descifrar y cargar PLAYFULGHOST en la memoria.

Mandiant dijo que también observó un “escenario de ejecución más sofisticado” en el que un archivo de acceso directo de Windows (“QQLaunch.lnk”) combina el contenido de otros dos archivos llamados “h” y “t” para construir la DLL maliciosa y descargarla utilizando un Versión renombrada de “curl.exe”.

Aplicaciones VPN troyanizadas

PLAYFULGHOST es capaz de configurar la persistencia en el host utilizando cuatro métodos diferentes: ejecutar clave de registro, tarea programada, carpeta de inicio de Windows y servicio de Windows. Cuenta con un amplio conjunto de funciones que le permiten recopilar una gran cantidad de datos, incluidas pulsaciones de teclas, capturas de pantalla, audio, información de la cuenta QQ, productos de seguridad instalados, contenido del portapapeles y metadatos del sistema.

También viene con capacidades para eliminar más cargas útiles, bloquear la entrada del mouse y el teclado, borrar registros de eventos de Windows, borrar datos del portapapeles, realizar operaciones de archivos, eliminar cachés y perfiles asociados con navegadores web como Sogou, QQ, 360 Safety, Firefox y Google Chrome. y borrar perfiles y almacenamiento local para aplicaciones de mensajería como Skype, Telegram y QQ.

Ciberseguridad

Algunas de las otras herramientas implementadas a través de PLAYFULGHOST son Mimikatz y un rootkit capaz de ocultar registros, archivos y procesos especificados por el actor de la amenaza. Junto con la descarga de los componentes de PLAYFULGHOST también se incluye una utilidad de código abierto llamada Terminator que puede eliminar procesos de seguridad mediante un controlador vulnerable Bring Your Own (BYOVD) ataque.

“En una ocasión, Mandiant observó una carga útil PLAYFULGHOST integrada en BOOSTWAVE”, dijo el gigante tecnológico. “BOOSTWAVE es un código shell que actúa como cuentagotas en memoria para una carga útil ejecutable portátil (PE) adjunta”.

El ataque a aplicaciones como Sogou, QQ y 360 Safety y el uso de señuelos LetsVPN aumentan la posibilidad de que estas infecciones se dirijan a usuarios de Windows de habla china. En julio de 2024, el proveedor canadiense de ciberseguridad eSentire reveló una campaña similar que aprovechaba instaladores falsos de Google Chrome para propagar Gh0st RAT mediante un gotero denominado Gh0stGambit.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Sigue IL: el esquiador finlandés interrumpe el Tour de Ski – Caos en el equipo sueco: “No sabemos de dónde vendrá”
Next: Si Putin hace esto, quedará fuera del poder.

Related Stories

OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto:
  • Tecnología

OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto: ¿qué futuro para los navegadores IA?

teknomers 11 de Temmuz de 2026
Scaleway (Iliad) compra al francés Qarnot, para un cloud más
  • Tecnología

Scaleway (Iliad) compra al francés Qarnot, para un cloud más verde y un reciclaje de la calor

teknomers 11 de Temmuz de 2026
NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a
  • Tecnología

NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a la vista

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Raghuram Rajan y Asha Sharma de Microsoft entre los designados de origen indio para los paneles de revisión de la Reserva Federal de EE. UU.

teknomers 11 de Temmuz de 2026
Tour de Francia 2026, etapa 8: recorrido y perfil de
  • Deporte

Tour de Francia 2026, etapa 8: recorrido y perfil de la etapa del día entre Périgueux y Bergerac

teknomers 11 de Temmuz de 2026
  • Cultura

Pochette horrible, álbum exitoso: ¿qué tal el nuevo de los Rolling Stones « Foreign Tongues »?

teknomers 11 de Temmuz de 2026
OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto:
  • Tecnología

OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto: ¿qué futuro para los navegadores IA?

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.