Derrière ce logiciel malveillant, une stratégie bien rodée pour infecter ses cibles. Selon l’équipe Mandiant de Google, PLAYFULGHOST arrive sur les ordinateurs de ses victimes via des emails de phishing ou des techniques de « SEO poisoning ». Ces dernières consistent à manipuler les résultats des moteurs de recherche pour inciter les utilisateurs à télécharger des versions truquées de logiciels légitimes, comme l’application VPN LetsVPN.
Les VPN pris pour cible
Dans le cas des emails de phishing, PLAYFULGHOST se cache dans des archives RAR malicieuses. Présentées comme des fichiers image avec une extension « .jpg », ces archives contiennent en réalité un exécutable Windows malveillant. Une fois ouvert, celui-ci télécharge et installe PLAYFULGHOST à partir d’un serveur distant.
Avec le SEO poisoning, le scénario est différent. Les utilisateurs tombent sur des liens leur proposant une fausse installation de LetsVPN. L’installation déclenche alors un processus complexe : un fichier intermédiaire s’occupe de récupérer les composants nécessaires au déploiement du malware.
Pour rendre son exécution discrète, PLAYFULGHOST s’appuie sur des techniques avancées comme le « DLL search order hijacking » et le sideloading. Ces méthodes permettent d’exécuter des fichiers malveillants en mémoire, sans laisser de traces visibles.
Une fois installé, PLAYFULGHOST ne fait pas les choses à moitié. Il collecte un maximum d’informations : frappes clavier, captures d’écran, métadonnées système, contenu du presse-papiers, et même les comptes QQ des utilisateurs. Il est également capable de désactiver la souris et le clavier, de nettoyer les journaux d’événements Windows, ou encore de supprimer les caches et profils des navigateurs comme Chrome ou Firefox.
Ce n’est pas tout. PLAYFULGHOST peut aussi déployer des outils supplémentaires, comme Mimikatz, utilisé pour voler des mots de passe, ou encore un rootkit qui masque les fichiers et processus liés au malware. Une autre arme redoutable est l’utilitaire open-source Terminator, capable de désactiver les logiciels de sécurité grâce à une technique connue sous le nom de « Bring Your Own Vulnerable Driver » (BYOVD).
Les chercheurs pensent que PLAYFULGHOST cible principalement des utilisateurs Windows de langue chinoise. Le malware semble en effet s’intéresser à des applications populaires dans cette région, comme QQ, Sogou, ou encore 360 Safety. De plus, il s’appuie sur des leurres autour de LetsVPN, une application également répandue dans ces communautés.
Si PLAYFULGHOST rappelle par certains aspects Gh0st RAT, il le surpasse largement en termes de sophistication et de polyvalence. Pour les utilisateurs, la vigilance reste de mise : éviter d’ouvrir des fichiers suspects et privilégier des logiciels téléchargés depuis des sources fiables sont des mesures essentielles pour limiter les risques.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
