GHOSTpulse मालवेयर
गुगल क्रोम, माइक्रोसफ्ट एज, ब्रेभ, व्याकरण र सिस्को वेबेक्स जस्ता प्रख्यात सफ्टवेयरका लागि नक्कली MSIX विन्डोज अनुप्रयोग प्याकेज फाइलहरूको प्रयोग समावेश गरी एउटा लुकेको साइबर आक्रमण अभियान पत्ता लागेको छ। यी असुरक्षित फाइलहरू GHOSTPULSE भनिने नयाँ प्रकारको मालवेयर लोडर फैलाउन प्रयोग भइरहेका छन्।
MSIX एक Windows अनुप्रयोग प्याकेज ढाँचा हो जुन विकासकर्ताहरूले Windows प्रणालीहरूमा आफ्नो सफ्टवेयर प्याकेज, वितरण, र स्थापना गर्न प्रयोग गर्न सक्छन्। यद्यपि, यो नोट गर्न महत्त्वपूर्ण छ कि MSIX फाइलहरू सिर्जना गर्न र प्रयोग गर्दा वैध रूपमा प्राप्त वा अवैध रूपमा प्राप्त कोड हस्ताक्षर प्रमाणपत्रहरूमा पहुँच आवश्यक छ, यो विधि विशेष गरी राम्रो वित्त पोषित र संसाधन ह्याकर समूहहरूलाई अपील गर्दछ।
सामग्रीको तालिका
आक्रमणकारीहरूले GHOSTPULSE मालवेयर डेलिभर गर्न विभिन्न लुर युक्तिहरू प्रयोग गर्छन्
यस योजनामा प्रयोग गरिएका प्रलोभन स्थापनाकर्ताहरूको आधारमा, यो आशंका गरिएको छ कि सम्भावित पीडितहरूलाई MSIX प्याकेजहरू सम्झौता गरिएका वेबसाइटहरू, खोज इन्जिन अप्टिमाइजेसन (SEO) विषाक्तता, वा जालसाजी विज्ञापन (malvertising) सहित प्रसिद्ध प्रविधिहरू प्रयोग गरेर डाउनलोड गर्न बहकाइएको छ।
जब MSIX फाइल कार्यान्वयन हुन्छ, विन्डोज प्रम्प्ट देखा पर्दछ, प्रयोगकर्ताहरूलाई 'स्थापना गर्नुहोस्' बटन क्लिक गर्न आग्रह गर्दछ। त्यसो गर्दा, GHOSTPULSE चुपचाप एक PowerShell स्क्रिप्ट मार्फत रिमोट सर्भर (विशेष गरी, 'manojsinghnegi[.]com') बाट सम्झौता गरिएको होस्टमा डाउनलोड गरिन्छ।
यो प्रक्रिया धेरै चरणहरूमा प्रकट हुन्छ, प्रारम्भिक पेलोड TAR संग्रह फाइलको साथ। यो अभिलेखले Oracle VM VirtualBox सेवा (VBoxSVC.exe) को रूपमा प्रस्तुत गर्ने कार्यान्वयनयोग्य समावेश गर्दछ, तर वास्तवमा, यो Notepad++ (gup.exe) सँग बन्डल गरिएको वैध बाइनरी हो।
थप रूपमा, TAR अभिलेख भित्र, handoff.wav नामक फाइल र libcurl.dll को ट्रोजनाइज्ड संस्करण छ। यो परिवर्तन गरिएको libcurl.dll लाई DLL साइड-लोडिङ मार्फत gup.exe मा कमजोरीको शोषण गरेर संक्रमण प्रक्रियालाई अर्को चरणमा अगाडि बढाउन लोड गरिएको छ।
GHOSTPULSE मालवेयर संक्रमण श्रृंखलामा संलग्न बहु, हानिकारक प्रविधिहरू
PowerShell स्क्रिप्टले बाइनरी VBoxSVC.exe को कार्यान्वयन प्रारम्भ गर्दछ, जुन, हालको डाइरेक्टरीबाट भ्रष्ट DLL libcurl.dll लोड गरेर DLL साइड-लोडिङमा संलग्न हुन्छ। यो विधिले खतरा अभिनेतालाई एन्क्रिप्टेड मालिसियस कोडको अन-डिस्क उपस्थितिलाई कम गर्न अनुमति दिन्छ, तिनीहरूलाई फाइल-आधारित एन्टिभाइरस र मेसिन लर्निङ स्क्यानिङद्वारा पत्ता लगाउनबाट बच्न सक्षम बनाउँछ।
यस पछि, हेरफेर गरिएको DLL फाइल handoff.wav विश्लेषण गरेर अगाडि बढ्छ। यो अडियो फाइल भित्र, एक इन्क्रिप्टेड पेलोड लुकाइएको छ, जुन पछि mshtml.dll मार्फत डिकोड गरी कार्यान्वयन गरिन्छ। यो प्रविधि, मोड्युल स्टम्पिङ भनेर चिनिन्छ, अन्ततः GHOSTPULSE सुरु गर्न प्रयोग गरिन्छ।
GHOSTPULSE ले लोडरको रूपमा कार्य गर्दछ र SectopRAT , Rhadamanthys , Vidar, Lumma र NetSupport RAT समावेश गर्ने मालवेयरको अन्तिम सेटको कार्यान्वयन प्रारम्भ गर्न प्रक्रिया doppelgänging भनिने अर्को प्रविधि प्रयोग गर्दछ।
मालवेयर आक्रमणका पीडितहरूका लागि नतिजाहरू गम्भीर हुन सक्छन्
रिमोट एक्सेस ट्रोजन (RAT) संक्रमणले प्रयोगकर्ताहरूको उपकरणहरूमा धेरै गम्भीर परिणामहरू निम्त्याउँछ, यसलाई सबैभन्दा खतरनाक प्रकारको मालवेयर मध्ये एक बनाउँछ। सबैभन्दा पहिले, एक RAT ले दुर्भावनापूर्ण अभिनेताहरूलाई अनाधिकृत पहुँच र नियन्त्रण प्रदान गर्दछ, तिनीहरूलाई गुप्त रूपमा अवलोकन गर्न, हेरफेर गर्न, र संक्रमित यन्त्रबाट संवेदनशील जानकारी चोरी गर्न अनुमति दिन्छ। यसले व्यक्तिगत फाइलहरूमा पहुँच, लगइन प्रमाणहरू, वित्तीय डेटा, र किस्ट्रोकहरू निगरानी र रेकर्ड गर्ने क्षमता पनि समावेश गर्दछ, यसलाई पहिचान चोरी र जासुसीको लागि एक शक्तिशाली उपकरण बनाउँछ। यी गतिविधिहरूले वित्तीय हानि, गोपनीयता उल्लङ्घन, र व्यक्तिगत र व्यावसायिक डेटाको सम्झौताको नेतृत्व गर्न सक्छ।
यसबाहेक, RAT संक्रमणहरूले प्रयोगकर्ताको गोपनीयता र सुरक्षामा विनाशकारी प्रभाव पार्न सक्छ। धोखाधडी-सम्बन्धित अभिनेताहरूले वेबक्यामहरू र माइक्रोफोनहरू सक्रिय गर्न RATs प्रयोग गर्न सक्छन्, प्रभावकारी रूपमा उनीहरूको आफ्नै घरमा पीडितहरूको जासूसी गर्न। व्यक्तिगत स्थानहरूमा यो घुसपैठले गोपनीयताको उल्लङ्घन मात्र गर्दैन तर ब्ल्याकमेल वा सम्झौता सामग्रीको वितरण पनि निम्त्याउन सक्छ। थप रूपमा, RATs लाई संक्रमित यन्त्रहरूलाई बोटनेटको अंशमा परिणत गर्न प्रयोग गर्न सकिन्छ, जसले ठूलो मात्रामा साइबर आक्रमणहरू सुरु गर्न, अन्य प्रणालीहरूमा मालवेयर वितरण गर्न वा आक्रमणकारीको तर्फबाट आपराधिक गतिविधिहरू सञ्चालन गर्न सक्छ। अन्ततः, RAT संक्रमणहरूले डिजिटल वातावरणमा विश्वासलाई कमजोर बनाउँछ, व्यक्तिगत सुरक्षालाई कमजोर बनाउँछ, र व्यक्ति, व्यवसाय र राष्ट्रहरूका लागि दीर्घकालीन, गम्भीर परिणामहरू हुन सक्छ।
