GHOSTpulse ਮਾਲਵੇਅਰ

ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ, ਬ੍ਰੇਵ, ਗ੍ਰਾਮਰਲੀ ਅਤੇ ਸਿਸਕੋ ਵੈਬੈਕਸ ਵਰਗੇ ਜਾਣੇ-ਪਛਾਣੇ ਸਾਫਟਵੇਅਰਾਂ ਲਈ ਜਾਅਲੀ MSIX ਵਿੰਡੋਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਪੈਕੇਜ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਗੁਪਤ ਸਾਈਬਰ ਅਟੈਕ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਅਸੁਰੱਖਿਅਤ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਇੱਕ ਨਵੀਂ ਕਿਸਮ ਦੇ ਮਾਲਵੇਅਰ ਲੋਡਰ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ ਜਿਸਨੂੰ GHOSTPULSE ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

MSIX ਇੱਕ ਵਿੰਡੋਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਪੈਕੇਜ ਫਾਰਮੈਟ ਹੈ ਜਿਸ ਨੂੰ ਡਿਵੈਲਪਰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਪੈਕੇਜ, ਵੰਡਣ, ਅਤੇ ਆਪਣੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਨਿਯੁਕਤ ਕਰ ਸਕਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਇਹ ਨੋਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ MSIX ਫਾਈਲਾਂ ਨੂੰ ਬਣਾਉਣ ਅਤੇ ਵਰਤਣ ਲਈ ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਪ੍ਰਾਪਤ ਕੀਤੇ ਜਾਂ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਪ੍ਰਾਪਤ ਕੀਤੇ ਕੋਡ ਸਾਈਨਿੰਗ ਸਰਟੀਫਿਕੇਟਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਸ ਵਿਧੀ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਫੰਡ ਪ੍ਰਾਪਤ ਅਤੇ ਸਰੋਤ ਹੈਕਰ ਸਮੂਹਾਂ ਲਈ ਆਕਰਸ਼ਕ ਬਣਾਉਂਦਾ ਹੈ।

ਹਮਲਾਵਰ GHOSTPULSE ਮਾਲਵੇਅਰ ਨੂੰ ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਲੁਭਾਉਣ ਵਾਲੀਆਂ ਚਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ

ਇਸ ਸਕੀਮ ਵਿੱਚ ਵਰਤੇ ਗਏ ਦਾਣਾ ਇੰਸਟਾਲਰਾਂ ਦੇ ਆਧਾਰ 'ਤੇ, ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨੂੰ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ MSIX ਪੈਕੇਜਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਗੁੰਮਰਾਹ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ, ਖੋਜ ਇੰਜਨ ਔਪਟੀਮਾਈਜੇਸ਼ਨ (SEO) ਜ਼ਹਿਰ, ਜਾਂ ਧੋਖਾਧੜੀ ਵਾਲੇ ਵਿਗਿਆਪਨ (ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ) ਸ਼ਾਮਲ ਹਨ।

ਜਦੋਂ MSIX ਫਾਈਲ ਨੂੰ ਐਗਜ਼ੀਕਿਊਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਵਿੰਡੋਜ਼ ਪ੍ਰੋਂਪਟ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 'ਇੰਸਟਾਲ' ਬਟਨ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਦੀ ਤਾਕੀਦ ਕਰਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ 'ਤੇ, GHOSTPULSE ਨੂੰ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ (ਖਾਸ ਤੌਰ 'ਤੇ, 'manojsinghnegi[.]com') ਤੋਂ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ ਲਈ ਚੁੱਪਚਾਪ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਹ ਪ੍ਰਕਿਰਿਆ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੁੰਦੀ ਹੈ, ਸ਼ੁਰੂਆਤੀ ਪੇਲੋਡ ਇੱਕ TAR ਆਰਕਾਈਵ ਫਾਈਲ ਹੋਣ ਦੇ ਨਾਲ। ਇਸ ਆਰਕਾਈਵ ਵਿੱਚ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ ਜੋ Oracle VM VirtualBox ਸੇਵਾ (VBoxSVC.exe) ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਪਰ ਅਸਲ ਵਿੱਚ, ਇਹ ਨੋਟਪੈਡ++ (gup.exe) ਨਾਲ ਬੰਡਲ ਇੱਕ ਜਾਇਜ਼ ਬਾਈਨਰੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, TAR ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ, handoff.wav ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਅਤੇ libcurl.dll ਦਾ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣ ਹੈ। ਇਸ ਬਦਲੇ ਹੋਏ libcurl.dll ਨੂੰ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ gup.exe ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਅਗਲੇ ਪੜਾਅ 'ਤੇ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ।

GHOSTPULSE ਮਾਲਵੇਅਰ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ ਸ਼ਾਮਲ ਮਲਟੀਪਲ, ਨੁਕਸਾਨਦੇਹ ਤਕਨੀਕਾਂ

PowerShell ਸਕ੍ਰਿਪਟ ਬਾਈਨਰੀ VBoxSVC.exe ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦੀ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ, ਮੌਜੂਦਾ ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਖਰਾਬ DLL libcurl.dll ਨੂੰ ਲੋਡ ਕਰਕੇ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ। ਇਹ ਵਿਧੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟਡ ਖਤਰਨਾਕ ਕੋਡ ਦੀ ਆਨ-ਡਿਸਕ ਮੌਜੂਦਗੀ ਨੂੰ ਘੱਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਫਾਈਲ-ਅਧਾਰਿਤ ਐਂਟੀਵਾਇਰਸ ਅਤੇ ਮਸ਼ੀਨ ਲਰਨਿੰਗ ਸਕੈਨਿੰਗ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਇਸ ਤੋਂ ਬਾਅਦ, ਹੇਰਾਫੇਰੀ ਕੀਤੀ DLL ਫਾਈਲ handoff.wav ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਕੇ ਅੱਗੇ ਵਧਦੀ ਹੈ। ਇਸ ਆਡੀਓ ਫਾਈਲ ਦੇ ਅੰਦਰ, ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਨੂੰ ਛੁਪਾਇਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਡੀਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ mshtml.dll ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਤਕਨੀਕ, ਮੌਡਿਊਲ ਸਟੰਪਿੰਗ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਹੈ, ਅੰਤ ਵਿੱਚ GHOSTPULSE ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ।

GHOSTPULSE ਇੱਕ ਲੋਡਰ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਮਾਲਵੇਅਰ ਦੇ ਅੰਤਮ ਸੈੱਟ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਪ੍ਰੋਸੈਸ ਡੋਪਲਗੈਂਗਿੰਗ ਨਾਮਕ ਇੱਕ ਹੋਰ ਤਕਨੀਕ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ SectopRAT , Rhadamanthys , Vidar, Lumma ਅਤੇ NetSupport RAT ਸ਼ਾਮਲ ਹਨ।

ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਦੇ ਪੀੜਤਾਂ ਲਈ ਨਤੀਜੇ ਗੰਭੀਰ ਹੋ ਸਕਦੇ ਹਨ

ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਸੰਕਰਮਣ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਲਈ ਕਈ ਗੰਭੀਰ ਨਤੀਜੇ ਪੈਦਾ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਭ ਤੋਂ ਖਤਰਨਾਕ ਕਿਸਮਾਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣਾਉਂਦਾ ਹੈ। ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਇੱਕ RAT ਖਤਰਨਾਕ ਅਭਿਨੇਤਾਵਾਂ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਦੇਖਣ, ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਚੋਰੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਇਸ ਵਿੱਚ ਨਿੱਜੀ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ, ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਵਿੱਤੀ ਡੇਟਾ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਕੀਸਟ੍ਰੋਕ ਦੀ ਨਿਗਰਾਨੀ ਅਤੇ ਰਿਕਾਰਡ ਕਰਨ ਦੀ ਯੋਗਤਾ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਇਸ ਨੂੰ ਪਛਾਣ ਦੀ ਚੋਰੀ ਅਤੇ ਜਾਸੂਸੀ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਦ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਗਤੀਵਿਧੀਆਂ ਵਿੱਤੀ ਨੁਕਸਾਨ, ਗੋਪਨੀਯਤਾ ਦੀ ਉਲੰਘਣਾ, ਅਤੇ ਨਿੱਜੀ ਅਤੇ ਪੇਸ਼ੇਵਰ ਡੇਟਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰ ਸਕਦੀਆਂ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, RAT ਸੰਕਰਮਣ ਉਪਭੋਗਤਾ ਦੀ ਗੋਪਨੀਯਤਾ ਅਤੇ ਸੁਰੱਖਿਆ 'ਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਪ੍ਰਭਾਵ ਪਾ ਸਕਦੇ ਹਨ। ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਭਿਨੇਤਾ ਵੈਬਕੈਮ ਅਤੇ ਮਾਈਕ੍ਰੋਫੋਨਾਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਲਈ RATs ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਆਪਣੇ ਘਰਾਂ ਵਿੱਚ ਪੀੜਤਾਂ ਦੀ ਜਾਸੂਸੀ ਕਰ ਸਕਦੇ ਹਨ। ਨਿੱਜੀ ਸਥਾਨਾਂ ਵਿੱਚ ਇਹ ਘੁਸਪੈਠ ਨਾ ਸਿਰਫ਼ ਗੋਪਨੀਯਤਾ ਦੀ ਉਲੰਘਣਾ ਕਰਦੀ ਹੈ ਬਲਕਿ ਬਲੈਕਮੇਲ ਜਾਂ ਸਮਝੌਤਾ ਕਰਨ ਵਾਲੀ ਸਮੱਗਰੀ ਦੀ ਵੰਡ ਦਾ ਕਾਰਨ ਵੀ ਬਣ ਸਕਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, RATs ਦੀ ਵਰਤੋਂ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਨੂੰ ਇੱਕ ਬੋਟਨੈੱਟ ਦੇ ਹਿੱਸੇ ਵਿੱਚ ਬਦਲਣ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਜੋ ਕਿ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰ ਸਕਦੇ ਹਨ, ਹੋਰ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਮਾਲਵੇਅਰ ਵੰਡ ਸਕਦੇ ਹਨ, ਜਾਂ ਹਮਲਾਵਰ ਦੀ ਤਰਫੋਂ ਅਪਰਾਧਿਕ ਗਤੀਵਿਧੀਆਂ ਕਰ ਸਕਦੇ ਹਨ। ਅੰਤ ਵਿੱਚ, RAT ਸੰਕਰਮਣ ਡਿਜੀਟਲ ਵਾਤਾਵਰਣ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੇ ਹਨ, ਨਿੱਜੀ ਸੁਰੱਖਿਆ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ, ਅਤੇ ਵਿਅਕਤੀਆਂ, ਕਾਰੋਬਾਰਾਂ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਕੌਮਾਂ ਲਈ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਚੱਲਣ ਵਾਲੇ, ਗੰਭੀਰ ਨਤੀਜੇ ਹੋ ਸਕਦੇ ਹਨ।