GHOSTPULSE Malware

Google Chrome, Microsoft Edge, Brave, Grammarly மற்றும் Cisco Webex போன்ற நன்கு அறியப்பட்ட மென்பொருட்களுக்கான போலி MSIX விண்டோஸ் பயன்பாட்டு தொகுப்பு கோப்புகளைப் பயன்படுத்துவதை உள்ளடக்கிய ஒரு திருட்டுத்தனமான சைபர் அட்டாக் பிரச்சாரம் கண்டறியப்பட்டுள்ளது. இந்த பாதுகாப்பற்ற கோப்புகள் GHOSTPULSE எனப்படும் புதிய வகை தீம்பொருள் ஏற்றியைப் பரப்புவதற்குப் பயன்படுத்தப்படுகின்றன.

MSIX என்பது விண்டோஸ் பயன்பாட்டு தொகுப்பு வடிவமாகும், இது டெவலப்பர்கள் தங்கள் மென்பொருளை விண்டோஸ் கணினிகளில் தொகுக்கவும், விநியோகிக்கவும் மற்றும் நிறுவவும் பயன்படுத்தலாம். இருப்பினும், MSIX கோப்புகளை உருவாக்குவதும் பயன்படுத்துவதும் சட்டப்பூர்வமாகப் பெறப்பட்ட அல்லது சட்டவிரோதமாகப் பெற்ற குறியீடு கையொப்பமிடும் சான்றிதழ்களுக்கான அணுகலை அவசியமாக்குகிறது என்பதைக் கவனத்தில் கொள்ள வேண்டியது அவசியம்.

GHOSTPULSE மால்வேரை வழங்க, தாக்குபவர்கள் பல்வேறு கவரும் தந்திரங்களைப் பயன்படுத்துகின்றனர்

இந்தத் திட்டத்தில் பயன்படுத்தப்படும் தூண்டில் நிறுவிகளின் அடிப்படையில், சமரசம் செய்யப்பட்ட இணையதளங்கள், தேடுபொறி உகப்பாக்கம் (SEO) நச்சுத்தன்மை அல்லது மோசடியான விளம்பரம் (மால்வர்டைசிங்) உள்ளிட்ட நன்கு அறியப்பட்ட நுட்பங்களைப் பயன்படுத்தி MSIX தொகுப்புகளைப் பதிவிறக்குவதற்கு சாத்தியமான பாதிக்கப்பட்டவர்கள் தவறாக வழிநடத்தப்படுகிறார்கள் என்று சந்தேகிக்கப்படுகிறது.

MSIX கோப்பு செயல்படுத்தப்படும் போது, விண்டோஸ் ப்ராம்ட் தோன்றும், பயனர்களை 'நிறுவு' பொத்தானைக் கிளிக் செய்யும்படி வலியுறுத்துகிறது. அவ்வாறு செய்யும்போது, பவர்ஷெல் ஸ்கிரிப்ட் வழியாக ரிமோட் சர்வரிலிருந்து (குறிப்பாக, 'மனோஜ்சிங்நேகி[.]காம்') சமரசம் செய்யப்பட்ட ஹோஸ்டுக்கு GHOSTPULSE அமைதியாகப் பதிவிறக்கப்படுகிறது.

இந்த செயல்முறை பல நிலைகளில் விரிவடைகிறது, ஆரம்ப பேலோட் ஒரு TAR காப்பகக் கோப்பாக இருக்கும். இந்தக் காப்பகத்தில் ஆரக்கிள் VM VirtualBox சேவையாக (VBoxSVC.exe) இயங்கக்கூடியது உள்ளது, ஆனால் உண்மையில் இது Notepad++ (gup.exe) உடன் இணைக்கப்பட்ட ஒரு முறையான பைனரி ஆகும்.

கூடுதலாக, TAR காப்பகத்தில், handoff.wav என்ற கோப்பும், libcurl.dll இன் ட்ரோஜனேற்றப்பட்ட பதிப்பும் உள்ளது. இந்த மாற்றப்பட்ட libcurl.dll ஆனது, DLL பக்க ஏற்றுதல் மூலம் gup.exe இல் உள்ள பாதிப்பைப் பயன்படுத்தி, தொற்று செயல்முறையை அடுத்த கட்டத்திற்கு முன்னேற்றுவதற்கு ஏற்றப்படுகிறது.

GHOSTPULSE மால்வேர் தொற்று சங்கிலியில் உள்ள பல, தீங்கு விளைவிக்கும் நுட்பங்கள்

பவர்ஷெல் ஸ்கிரிப்ட் பைனரி VBoxSVC.exe செயல்படுத்தலைத் தொடங்குகிறது, இது தற்போதைய கோப்பகத்தில் இருந்து சிதைந்த DLL libcurl.dll ஐ ஏற்றுவதன் மூலம் DLL பக்க-ஏற்றத்தில் ஈடுபடுகிறது. இந்த முறையானது, மறைகுறியாக்கப்பட்ட தீங்கிழைக்கும் குறியீட்டின் வட்டில் இருப்பதைக் குறைக்க அச்சுறுத்தல் நடிகரை அனுமதிக்கிறது, இது கோப்பு அடிப்படையிலான வைரஸ் தடுப்பு மற்றும் இயந்திர கற்றல் ஸ்கேனிங் மூலம் கண்டறிவதைத் தவிர்க்க உதவுகிறது.

இதைத் தொடர்ந்து, கையாளப்பட்ட DLL கோப்பு handoff.wav ஐ பகுப்பாய்வு செய்வதன் மூலம் தொடர்கிறது. இந்த ஆடியோ கோப்பிற்குள், மறைகுறியாக்கப்பட்ட பேலோட் மறைக்கப்பட்டுள்ளது, இது mshtml.dll மூலம் டிகோட் செய்யப்பட்டு செயல்படுத்தப்படுகிறது. மாட்யூல் ஸ்டோம்பிங் எனப்படும் இந்த நுட்பம், இறுதியில் GHOSTPULSE ஐத் தொடங்கப் பயன்படுகிறது.

GHOSTPULSE ஒரு ஏற்றியாகச் செயல்படுகிறது மற்றும் SectopRAT , Rhadamanthys , Vidar, Lumma மற்றும் NetSupport RAT ஆகியவற்றை உள்ளடக்கிய தீம்பொருளின் இறுதித் தொகுப்பின் செயல்பாட்டைத் தொடங்குவதற்கு செயல்முறை doppelgänging எனப்படும் மற்றொரு நுட்பத்தைப் பயன்படுத்துகிறது.

மால்வேர் தாக்குதல்களால் பாதிக்கப்பட்டவர்களுக்கு ஏற்படும் விளைவுகள் கடுமையாக இருக்கலாம்

ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) தொற்று பயனர்களின் சாதனங்களில் பல மோசமான விளைவுகளை ஏற்படுத்துகிறது, இது தீம்பொருளின் மிகவும் ஆபத்தான வகைகளில் ஒன்றாகும். முதலாவதாக, ஒரு RAT தீங்கிழைக்கும் நடிகர்களுக்கு அங்கீகரிக்கப்படாத அணுகல் மற்றும் கட்டுப்பாட்டை வழங்குகிறது, இது பாதிக்கப்பட்ட சாதனத்திலிருந்து முக்கியமான தகவல்களை மறைவாகக் கண்காணிக்கவும், கையாளவும் மற்றும் திருடவும் அனுமதிக்கிறது. தனிப்பட்ட கோப்புகளுக்கான அணுகல், உள்நுழைவு சான்றுகள், நிதித் தரவு மற்றும் விசை அழுத்தங்களைக் கண்காணிக்கும் மற்றும் பதிவு செய்யும் திறன் ஆகியவை இதில் அடங்கும், இது அடையாள திருட்டு மற்றும் உளவு பார்ப்பதற்கான ஒரு சக்திவாய்ந்த கருவியாக அமைகிறது. இந்த நடவடிக்கைகள் நிதி இழப்புகள், தனியுரிமை மீறல்கள் மற்றும் தனிப்பட்ட மற்றும் தொழில்முறை தரவுகளின் சமரசத்திற்கு வழிவகுக்கும்.

மேலும், RAT நோய்த்தொற்றுகள் பயனர் தனியுரிமை மற்றும் பாதுகாப்பில் பேரழிவு தரும் தாக்கங்களை ஏற்படுத்தலாம். மோசடி தொடர்பான நடிகர்கள் வெப்கேம்கள் மற்றும் மைக்ரோஃபோன்களை ஆன் செய்ய RATகளைப் பயன்படுத்தலாம், பாதிக்கப்பட்டவர்களை தங்கள் சொந்த வீடுகளில் திறம்பட உளவு பார்க்கலாம். தனிப்பட்ட இடங்களுக்குள் இந்த ஊடுருவல் தனியுரிமையை மீறுவது மட்டுமல்லாமல், அச்சுறுத்தலுக்கும் அல்லது சமரசம் செய்யும் உள்ளடக்கத்தின் விநியோகத்திற்கும் வழிவகுக்கும். கூடுதலாக, பாதிக்கப்பட்ட சாதனங்களை பாட்நெட்டின் ஒரு பகுதியாக மாற்ற RATகள் பயன்படுத்தப்படலாம், இது பெரிய அளவிலான சைபர் தாக்குதல்களைத் தொடங்கலாம், தீம்பொருளை மற்ற அமைப்புகளுக்கு விநியோகிக்கலாம் அல்லது தாக்குபவர் சார்பாக குற்றச் செயல்களைச் செய்யலாம். இறுதியில், RAT நோய்த்தொற்றுகள் டிஜிட்டல் சூழலில் நம்பிக்கையை குறைமதிப்பிற்கு உட்படுத்துகின்றன, தனிப்பட்ட பாதுகாப்பை அழிக்கின்றன, மேலும் தனிநபர்கள், வணிகங்கள் மற்றும் நாடுகளுக்கு கூட நீண்டகால, கடுமையான விளைவுகளை ஏற்படுத்தலாம்.