GHOSTPULSE Malware

एक गुप्त साइबर हमले अभियान का पता चला है, जिसमें Google Chrome, Microsoft Edge, Brave, grammarly और Cisco Webex जैसे प्रसिद्ध सॉफ़्टवेयर के लिए नकली MSIX Windows एप्लिकेशन पैकेज फ़ाइलों का उपयोग शामिल है। इन असुरक्षित फ़ाइलों का उपयोग GHOSTPULSE नामक एक नए प्रकार के मैलवेयर लोडर को प्रसारित करने के लिए किया जा रहा है।

MSIX एक विंडोज़ एप्लिकेशन पैकेज प्रारूप है जिसे डेवलपर्स विंडोज़ सिस्टम पर अपने सॉफ़्टवेयर को पैकेज करने, वितरित करने और इंस्टॉल करने के लिए नियोजित कर सकते हैं। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि MSIX फ़ाइलों को बनाने और उपयोग करने के लिए वैध रूप से प्राप्त या अवैध रूप से प्राप्त कोड हस्ताक्षर प्रमाणपत्रों तक पहुंच की आवश्यकता होती है, जिससे यह विधि विशेष रूप से अच्छी तरह से वित्त पोषित और साधन संपन्न हैकर समूहों के लिए आकर्षक हो जाती है।

हमलावर घोस्टपल्स मैलवेयर पहुंचाने के लिए विभिन्न लालच युक्तियों का उपयोग करते हैं

इस योजना में उपयोग किए गए चारा इंस्टॉलरों के आधार पर, यह संदेह है कि संभावित पीड़ितों को प्रसिद्ध तकनीकों का उपयोग करके MSIX पैकेज डाउनलोड करने के लिए गुमराह किया जाता है, जिसमें समझौता की गई वेबसाइटें, खोज इंजन अनुकूलन (एसईओ) विषाक्तता, या धोखाधड़ी वाले विज्ञापन (मैलविवरटाइजिंग) शामिल हैं।

जब MSIX फ़ाइल निष्पादित होती है, तो एक विंडोज़ प्रॉम्प्ट प्रकट होता है, जो उपयोगकर्ताओं से 'इंस्टॉल' बटन पर क्लिक करने का आग्रह करता है। ऐसा करने पर, GHOSTPULSE को PowerShell स्क्रिप्ट के माध्यम से एक दूरस्थ सर्वर (विशेष रूप से, 'manojsinghnegi[.]com') से समझौता किए गए होस्ट पर चुपचाप डाउनलोड किया जाता है।

यह प्रक्रिया कई चरणों में चलती है, जिसमें प्रारंभिक पेलोड एक TAR संग्रह फ़ाइल होती है। इस संग्रह में एक निष्पादन योग्य है जो Oracle VM वर्चुअलबॉक्स सेवा (VBoxSVC.exe) के रूप में प्रस्तुत किया गया है, लेकिन वास्तव में, यह नोटपैड++ (gup.exe) के साथ बंडल किया गया एक वैध बाइनरी है।

इसके अतिरिक्त, TAR संग्रह के भीतर, Handoff.wav नाम की एक फ़ाइल और libcurl.dll का एक ट्रोजनीकृत संस्करण है। यह परिवर्तित libcurl.dll DLL साइड-लोडिंग के माध्यम से gup.exe में भेद्यता का फायदा उठाकर संक्रमण प्रक्रिया को अगले चरण में आगे बढ़ाने के लिए लोड किया गया है।

GHOSTPULSE मैलवेयर संक्रमण श्रृंखला में शामिल अनेक, हानिकारक तकनीकें

PowerShell स्क्रिप्ट बाइनरी VBoxSVC.exe के निष्पादन की शुरुआत करती है, जो बदले में, वर्तमान निर्देशिका से दूषित DLL libcurl.dll को लोड करके DLL साइड-लोडिंग में संलग्न होती है। यह विधि खतरे वाले अभिनेता को एन्क्रिप्टेड दुर्भावनापूर्ण कोड की ऑन-डिस्क उपस्थिति को कम करने की अनुमति देती है, जिससे उन्हें फ़ाइल-आधारित एंटीवायरस और मशीन लर्निंग स्कैनिंग द्वारा पता लगाने से बचने में मदद मिलती है।

इसके बाद, हेरफेर की गई DLL फ़ाइल Handoff.wav का विश्लेषण करके आगे बढ़ती है। इस ऑडियो फ़ाइल के भीतर, एक एन्क्रिप्टेड पेलोड छिपा हुआ है, जिसे बाद में mshtml.dll के माध्यम से डिकोड और निष्पादित किया जाता है। मॉड्यूल स्टॉम्पिंग के रूप में जानी जाने वाली इस तकनीक का उपयोग अंततः GHOSTPULSE को लॉन्च करने के लिए किया जाता है।

GHOSTPULSE एक लोडर के रूप में कार्य करता है और मैलवेयर के अंतिम सेट के निष्पादन को आरंभ करने के लिए प्रोसेस डोपेलगैंजिंग नामक एक अन्य तकनीक का उपयोग करता है, जिसमें SectopRAT , Rhadamanthys , Vidar, Lumma और NetSupport RAT शामिल हैं।

मैलवेयर हमलों के पीड़ितों के लिए परिणाम गंभीर हो सकते हैं

रिमोट एक्सेस ट्रोजन (आरएटी) संक्रमण उपयोगकर्ताओं के उपकरणों पर कई गंभीर परिणाम उत्पन्न करता है, जिससे यह सबसे खतरनाक प्रकार के मैलवेयर में से एक बन जाता है। सबसे पहले, RAT दुर्भावनापूर्ण अभिनेताओं को अनधिकृत पहुंच और नियंत्रण प्रदान करता है, जिससे उन्हें संक्रमित डिवाइस से संवेदनशील जानकारी को गुप्त रूप से देखने, हेरफेर करने और चोरी करने की अनुमति मिलती है। इसमें व्यक्तिगत फ़ाइलों तक पहुंच, लॉगिन क्रेडेंशियल, वित्तीय डेटा और यहां तक कि कीस्ट्रोक्स की निगरानी और रिकॉर्ड करने की क्षमता भी शामिल है, जो इसे पहचान की चोरी और जासूसी के लिए एक शक्तिशाली उपकरण बनाती है। इन गतिविधियों से वित्तीय नुकसान, गोपनीयता का उल्लंघन और व्यक्तिगत और व्यावसायिक डेटा का समझौता हो सकता है।

इसके अलावा, RAT संक्रमण उपयोगकर्ता की गोपनीयता और सुरक्षा पर विनाशकारी प्रभाव डाल सकता है। धोखाधड़ी से संबंधित अभिनेता वेबकैम और माइक्रोफ़ोन चालू करने के लिए RAT का उपयोग कर सकते हैं, जिससे प्रभावी ढंग से अपने घरों में पीड़ितों की जासूसी की जा सकती है। व्यक्तिगत स्थानों में यह घुसपैठ न केवल गोपनीयता का उल्लंघन करती है बल्कि ब्लैकमेल या समझौतावादी सामग्री के वितरण को भी जन्म दे सकती है। इसके अतिरिक्त, RAT का उपयोग संक्रमित उपकरणों को बॉटनेट के हिस्से में बदलने के लिए किया जा सकता है, जो बड़े पैमाने पर साइबर हमले शुरू कर सकता है, अन्य प्रणालियों में मैलवेयर वितरित कर सकता है, या हमलावर की ओर से आपराधिक गतिविधियों को अंजाम दे सकता है। अंततः, आरएटी संक्रमण डिजिटल वातावरण में विश्वास को कमजोर करता है, व्यक्तिगत सुरक्षा को नष्ट करता है, और व्यक्तियों, व्यवसायों और यहां तक कि राष्ट्रों के लिए लंबे समय तक चलने वाले गंभीर परिणाम हो सकते हैं।