Google 托管防御团队已经发现一个新的恶意软件活动使用搜索引擎优化中毒和网络钓鱼使用名为 Playfulghost 的后门来定位用户。
该恶意软件是一种远程访问木马 (RAT),可以执行一系列活动,包括键盘记录、捕获屏幕截图、录制音频、窃取文件等。 Playfulghost也能偷窃数据从类似的应用程序Sogou,QQ和360安全,并配备了可以隐藏其存在证据的rootkit。
谷歌表示,至少在一次观察到的事件中,Playfulghost 是通过恶意广告和 SEO 中毒以包含 Playfulghost 的 LetsVPN 木马安装程序的形式传播的。受欢迎的和合法的虚拟专用网络服务。
Playfulghost 恶意软件与流行的应用程序捆绑在一起,VPN。就 LetsVPN 而言,谷歌的托管防御团队表示,恶意软件是通过 SEO 中毒传播的,搜索引擎结果被操纵,使捆绑的软件出现在搜索的顶部,给人一种这是合法下载的印象。
谷歌的托管防御团队在一篇博客文章中写道:“SEO 中毒涉及使用恶意策略来操纵搜索引擎结果,使恶意链接在特定搜索查询的结果中排名靠前。” “就 Playfulghost 而言,它被用来与 VPN 等流行应用程序一起分发恶意软件,使其看起来像是合法下载。”
谷歌观察到 Playfulghost 也通过网络钓鱼攻击进行传播。例如,受害者可能会收到一封主题行类似于“行为准则”的电子邮件,其中包含伪装成图像的恶意 RAR 文件。
当受害者打开 RAR 时,它会释放恶意 Windows 可执行文件,该可执行文件又从远程服务器下载并执行 Playfulghost。谷歌表示,在某些情况下,攻击者会利用社交工程来欺骗受害者,让他们认为 Playfulghost 有效负载是合法文件。
谷歌表示,用于分发 Playfulghost 的策略非常复杂,并补充说,该恶意软件利用“DLL 搜索顺序劫持”和“侧面加载”在下载后加载到内存中等技术。
谷歌表示,流行软件的 SEO 中毒和木马安装程序“非常成功”,Playfulghost 感染了“数十台”设备。
谷歌强调,用户从网络下载应用程序时应谨慎,并且只安装来自可信来源的软件。谷歌还建议用户警惕网络钓鱼攻击并定期更新设备。
谷歌的博客文章提醒人们,即使是看似合法的软件安装程序也可能携带恶意软件。