近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现PLAYFULGHOST恶意软件持续活跃，主要针对Windows用户实施攻击窃取敏感信息。

PLAYFULGHOST恶意软件攻击目标主要针对搜狗、QQ和360安全等应用程序，通过钓鱼邮件和搜索引擎优化（SEO）投毒技术分发经过篡改的合法VPN应用程序（如LetsVPN）进行传播。在感染过程中，PLAYFULGHOST利用DLL劫持、侧加载等技术，加载恶意DLL文件，进而解密并将PLAYFULGHOST注入内存。一旦感染成功，攻击者将控制系统，进行键盘记录、屏幕截图、远程Shell访问以及文件传输与执行等恶意活动。此外，PLAYFULGHOST在攻击过程中使用了Mimikatz（密码提取工具，用于从内存中提取明文密码）与Rootkit（隐藏工具，能够隐藏自身及恶意行为），并利用Terminator开源工具，通过植入自带漏洞驱动（BYOVD）终止安全进程，进一步增强其功能性和隐蔽性。

建议相关单位及用户立即组织排查，及时更新防病毒软件，定期实施全盘病毒查杀和重要数据备份，谨慎点击不明来源的链接或下载运行来源不明的应用程序，加强网络安全意识培训，防范网络攻击风险。

声明：本文来自网络安全威胁和漏洞信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 [email protected]。