Google heeft een nieuwe bedreiging geïdentificeerd: de PlayFulGhost-malware. Deze schadelijke software wordt gebundeld met populaire applicaties, waaronder VPN-software, en vormt een aanzienlijk risico voor gebruikers. Volgens beveiligingsonderzoeker Tatsuhiko Ito bevat de PlayFulGhost-malware een backdoor die sterke gelijkenissen vertoont met de Gh0st RAT-malware. Gh0st RAT is een bekende vorm van malware waarvan de broncode al in 2008 openbaar werd gemaakt. Ondanks zijn ouderdom blijft de code een populair instrument onder cybercriminelen. Het grootste gevaar van PlayFulGhost is dat het aanvallers in staat stelt uitgebreide controle over getroffen systemen te verkrijgen, aldus Google’s onderzoeksteam in een recente blogpost.
Verspreidingstechnieken
De PlayFulGhost-malware maakt gebruik van diverse verspreidingsmethoden om gebruikers te infecteren, waaronder phishingaanvallen per e-mail en een techniek die bekend staat als ‘SEO poisoning’.
Phishingaanvallen
Bij phishing versturen aanvallers e-mails met kwaadaardige bijlagen in de hoop dat ontvangers deze openen. De bijlagen hebben vaak misleidende namen, zoals "code of conduct", waardoor ze op een legitiem Word- of PDF-bestand lijken. In werkelijkheid gaat het om een schadelijk RAR-bestand met een verborgen payload, vermomd als een .jpg-bestand. Zodra de ontvanger het RAR-bestand uitpakt en het geïnfecteerde bestand opent, wordt de malware geactiveerd.
SEO poisoning
Bij SEO poisoning maken aanvallers misbruik van zoekmachine-optimalisatie (SEO) om schadelijke websites hoger te laten scoren in zoekresultaten. Vaak gaat het om websites die legitiem ogende applicaties, zoals VPN-software, promoten. Gebruikers die op deze websites apps downloaden, worden geïnfecteerd zodra de software wordt geïnstalleerd. Een voorbeeld hiervan is de app “LetsVPN”, die volgens Google een schadelijke backdoor bevat.
Impact op gebruikers
Een van de grootste uitdagingen van de PlayFulGhost-malware is dat deze onopgemerkt blijft door gebruikers. De malware wordt gebundeld met ogenschijnlijk legitieme software, waardoor weinig verdachte signalen worden opgepikt tijdens of na installatie.
Eenmaal actief geeft PlayFulGhost aanvallers verregaande toegang tot geïnfecteerde systemen. Hierdoor kunnen zij gebruikersactiviteiten monitoren, gevoelige gegevens stelen en zelfs verregaande manipulaties uitvoeren op het apparaat. Voorbeelden hiervan zijn:
- Het wijzigen van de schermresolutie.
- Het blokkeren van muis- en toetsenbordinvoer.
- Het openen en sluiten van de cd-romlade.
- Het afspelen van storende pieptonen.
Hoewel niet is bevestigd of aanvallers deze functies in specifieke aanvallen hebben benut, illustreert het de veelzijdigheid en potentie voor misbruik van de malware.
Advies aan gebruikers
Google waarschuwt gebruikers om extra waakzaam te zijn bij het downloaden van software, vooral via onbekende websites of links uit e-mails. Het gebruik van antivirussoftware en het vermijden van het openen van verdachte bijlagen blijven essentiële maatregelen. Gebruikers wordt verder aangeraden om regelmatig updates te installeren en alleen software te downloaden van vertrouwde bronnen.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack