DeepLoad मैलवेयर

हाल ही में सामने आए एक हमले के अभियान में संक्रमण फैलाने के लिए क्लिकफिक्स सोशल इंजीनियरिंग तकनीक का इस्तेमाल किया जाता है। पीड़ितों को एक मनगढ़ंत सिस्टम समस्या को हल करने के बहाने विंडोज रन डायलॉग बॉक्स में दुर्भावनापूर्ण पॉवरशेल कमांड पेस्ट करने के लिए बहकाया जाता है। इस शुरुआती चरण में mshta.exe नामक एक वैध विंडोज यूटिलिटी का उपयोग करके एक अस्पष्ट पॉवरशेल-आधारित लोडर को प्राप्त और निष्पादित किया जाता है।

बचाव के लिए तैयार की गई अस्पष्टता

पॉवरशेल लोडर अनावश्यक और अर्थहीन वेरिएबल असाइनमेंट के ज़रिए अपने असली उद्देश्य को छुपाता है, जिससे स्टैटिक विश्लेषण बेहद जटिल हो जाता है। साक्ष्य बताते हैं कि इस अस्पष्टीकरण परत को बनाने में संभवतः कृत्रिम बुद्धिमत्ता उपकरणों का उपयोग किया गया था, जिससे इसकी जटिलता और बढ़ गई। यह तरीका मैलवेयर को परिचालन अखंडता बनाए रखते हुए पारंपरिक पहचान तंत्रों को दरकिनार करने में सक्षम बनाता है।

सिस्टम छलावरण के माध्यम से गुप्तता

DeepLoad को विशेष रूप से इस तरह डिज़ाइन किया गया है कि यह Windows के सामान्य कार्यों में आसानी से घुलमिल जाए। इसका पेलोड LockAppHost.exe नामक एक निष्पादन योग्य फ़ाइल के अंदर छिपा होता है, जो Windows लॉक स्क्रीन को प्रबंधित करने वाली एक वैध प्रक्रिया है। अपनी उपस्थिति को और अधिक छिपाने के लिए, यह मैलवेयर PowerShell कमांड हिस्ट्री को निष्क्रिय कर देता है और मानक PowerShell कमांड पर निर्भर रहने के बजाय सीधे Windows के मूल कार्यों को कॉल करता है। यह तकनीक इसे PowerShell गतिविधि पर नज़र रखने वाले निगरानी तंत्रों से बचने में सक्षम बनाती है।

फाइललेस तकनीकें और डायनामिक पेलोड जनरेशन

पहचान को कम करने के लिए, DeepLoad डिस्क पर कोई भी स्थायी फ़ाइल नहीं छोड़ता है। यह PowerShell के Add-Type फ़ीचर का उपयोग करके एक सेकेंडरी कंपोनेंट बनाता है, जो C# कोड को एक अस्थायी DLL फ़ाइल में कंपाइल करता है और उसे उपयोगकर्ता की Temp डायरेक्टरी में स्टोर करता है। हर बार चलाने पर एक अलग नाम वाली फ़ाइल बनती है, जिससे ज्ञात सिग्नेचर पर आधारित फ़ाइल-आधारित पहचान विधियों को प्रभावी ढंग से बायपास किया जा सकता है।

गुप्त निष्पादन के लिए उन्नत इंजेक्शन

एक प्रमुख बचाव रणनीति में अतुल्यकालिक प्रक्रिया कॉल (APC) इंजेक्शन का उपयोग शामिल है। मैलवेयर एक वैध विंडोज प्रक्रिया को निलंबित अवस्था में लॉन्च करता है, सीधे उसकी मेमोरी में शेलकोड इंजेक्ट करता है, और निष्पादन को पुनः आरंभ करता है। यह विधि सुनिश्चित करती है कि दुर्भावनापूर्ण पेलोड डिस्क पर डिकोड किया गया संस्करण लिखे बिना एक विश्वसनीय प्रक्रिया के भीतर चलता है, जिससे इसका फोरेंसिक प्रभाव काफी कम हो जाता है।

निरंतर क्रेडेंशियल चोरी तंत्र

DeepLoad को निष्पादन के तुरंत बाद संवेदनशील उपयोगकर्ता डेटा निकालने के लिए डिज़ाइन किया गया है। इसकी क्षमताओं में शामिल हैं:

• संक्रमित सिस्टम से सीधे संग्रहीत ब्राउज़र पासवर्ड प्राप्त करना
• एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन तैनात करना जो लॉगिन प्रयासों के दौरान वास्तविक समय में क्रेडेंशियल कैप्चर करता है और मैन्युअल रूप से हटाए जाने तक सत्रों के बीच बना रहता है।

हटाने योग्य मीडिया के माध्यम से पार्श्व प्रसार

यह मैलवेयर रिमूवेबल स्टोरेज डिवाइसों का फायदा उठाने के लिए डिज़ाइन की गई प्रसार तकनीकों का उपयोग करता है। यूएसबी ड्राइव या इसी तरह के मीडिया का पता चलने पर, यह वैध इंस्टॉलर के रूप में छिपे हुए दुर्भावनापूर्ण शॉर्टकट फ़ाइलों की कॉपी बनाता है। इन फ़ाइलों के नाम भरोसेमंद प्रतीत होने के लिए इस तरह रखे जाते हैं, जिससे उपयोगकर्ता के साथ संपर्क और आगे संक्रमण की संभावना बढ़ जाती है।

महिला मानव संसाधन दुरुपयोग के माध्यम से मौन पुन: संक्रमण

DeepLoad, Windows Management Instrumentation (WMI) का उपयोग करके निरंतरता स्थापित करता है। यह इवेंट सब्सक्रिप्शन बनाता है जो तीन दिनों की देरी के बाद पुनः संक्रमण को ट्रिगर करते हैं, इसके लिए उपयोगकर्ता के हस्तक्षेप या हमलावर की भागीदारी की आवश्यकता नहीं होती है। यह तकनीक अपेक्षित पैरेंट-चाइल्ड प्रोसेस संबंधों को तोड़कर पारंपरिक पहचान मॉडल को भी बाधित करती है।

रणनीतिक उद्देश्य: संपूर्ण किल चेन कवरेज

डीपलोड का समग्र डिज़ाइन एक बहु-कार्यात्मक मैलवेयर फ्रेमवर्क को दर्शाता है जो संपूर्ण साइबर किल चेन में कार्रवाई करने में सक्षम है। इसकी परिचालन रणनीति निम्नलिखित पर केंद्रित है:

• डिस्क-आधारित त्रुटियों से बचने से पहचान की संभावना कम हो जाती है
• वैध विंडोज प्रक्रियाओं के भीतर दुर्भावनापूर्ण गतिविधि को मिलाना
• विभिन्न प्रणालियों में तेजी से फैलकर अपना प्रभाव क्षेत्र बढ़ा रहा है।

स्केलेबल खतरे के ढांचे के संकेतक

DeepLoad से जुड़े बुनियादी ढांचे और मॉड्यूलर डिज़ाइन से साझा या सेवा-आधारित परिनियोजन मॉडल की संभावना का संकेत मिलता है। हालांकि इसकी विशेषताएं मैलवेयर-एज़-अ-सर्विस (MaaS) पेशकशों के अनुरूप हैं, लेकिन वर्तमान में इस वर्गीकरण की पुष्टि करने के लिए पर्याप्त प्रमाण नहीं हैं।