DRILLAPP बैकडोर

साइबर सुरक्षा विश्लेषकों ने यूक्रेनी संगठनों को निशाना बनाने वाले एक नए खतरे के अभियान की पहचान की है, जिसमें रूस से जुड़े तत्वों की संलिप्तता के संकेत मिले हैं। यह गतिविधि, जो पहली बार फरवरी 2026 में देखी गई, तकनीकी रूप से लॉन्ड्री बियर (जिसे UAC-0190 या वॉयड ब्लिज़ार्ड के नाम से भी जाना जाता है) नामक समूह द्वारा किए गए एक पिछले अभियान से मिलती-जुलती है। उस पिछले अभियान ने यूक्रेनी रक्षा बलों को निशाना बनाया था और PLUGGYAPE नामक मैलवेयर परिवार का इस्तेमाल किया था।

नवीनतम ऑपरेशन में जावास्क्रिप्ट-आधारित बैकडोर शामिल किया गया है, जो माइक्रोसॉफ्ट एज ब्राउज़र के माध्यम से निष्पादित होता है। शोधकर्ताओं द्वारा DRILLAPP नाम से पहचाने जाने वाले इस मैलवेयर को ब्राउज़र की क्षमताओं का फायदा उठाकर फ़ाइलें अपलोड और डाउनलोड करने, माइक्रोफ़ोन तक पहुंच प्राप्त करने और पीड़ित के वेबकैम से तस्वीरें कैप्चर करने के लिए डिज़ाइन किया गया है।

हमलावर दुर्भावनापूर्ण घटकों को फैलाने के लिए सोशल इंजीनियरिंग की रणनीति का सहारा लेते हैं। कानूनी मामलों या धर्मार्थ कार्यों का हवाला देकर पीड़ितों को दुर्भावनापूर्ण फ़ाइलें खोलने और संक्रमण की श्रृंखला शुरू करने के लिए लुभाया जाता है।

भ्रामक प्रलोभन और प्रारंभिक संक्रमण विधि

इस अभियान को दो अलग-अलग रूपों में देखा गया है। पहला रूप, जो फरवरी 2026 की शुरुआत में पाया गया, प्रारंभिक वितरण तंत्र के रूप में एक विंडोज शॉर्टकट (LNK) फ़ाइल का उपयोग करता है। जब इसे चलाया जाता है, तो शॉर्टकट सिस्टम की अस्थायी निर्देशिका में एक HTML एप्लिकेशन (HTA) फ़ाइल बनाता है। यह HTA फ़ाइल फिर वैध पेस्ट-शेयरिंग सेवा Pastefy पर होस्ट की गई एक रिमोट स्क्रिप्ट को प्राप्त करती है।

प्रभावित सिस्टमों पर अपनी उपस्थिति बनाए रखने के लिए, हमलावर दुर्भावनापूर्ण LNK फ़ाइल को विंडोज स्टार्टअप फ़ोल्डर में कॉपी कर देते हैं, जिससे यह सुनिश्चित हो जाता है कि सिस्टम के प्रत्येक रीबूट के बाद यह स्वचालित रूप से निष्पादित हो जाए। एक बार संक्रमण का सिलसिला शुरू हो जाने पर, पीड़ितों को भ्रामक थीम वाले URL दिखाए जाते हैं, जिनमें स्टारलिंक को इंस्टॉल करने से संबंधित निर्देश या यूक्रेनी चैरिटी 'कम बैक अलाइव फाउंडेशन' के संदर्भ शामिल होते हैं।

एचटीए फ़ाइल अंततः हेडलेस मोड में चल रहे माइक्रोसॉफ्ट एज ब्राउज़र के माध्यम से लॉन्च होती है, जिससे ब्राउज़र एक मानक ब्राउज़र विंडो प्रदर्शित किए बिना पेस्टिफ़ाई से प्राप्त अस्पष्ट स्क्रिप्ट को निष्पादित कर सकता है।

गुप्त रूप से पहुँच प्राप्त करने के लिए ब्राउज़र पैरामीटर का दुरुपयोग करना

अपनी क्षमताओं को अधिकतम करने के लिए, दुर्भावनापूर्ण प्रक्रिया एज ब्राउज़र को कई मापदंडों के साथ लॉन्च करती है जो अंतर्निहित सुरक्षा सुरक्षा उपायों को कमजोर करते हैं और संवेदनशील सिस्टम संसाधनों तक अनधिकृत पहुंच को सक्षम बनाते हैं।

ये पैरामीटर ब्राउज़र इंस्टेंस को सामान्य सुरक्षा उपायों को दरकिनार करने और ब्राउज़र सुरक्षा मॉडल द्वारा सामान्यतः प्रतिबंधित कार्यों को करने की अनुमति देते हैं। यह कॉन्फ़िगरेशन प्रभावी रूप से मैलवेयर को पीड़ित की किसी भी प्रकार की सहभागिता की आवश्यकता के बिना स्थानीय फ़ाइलों तक पहुँचने, ऑडियो और वीडियो स्ट्रीम कैप्चर करने और स्क्रीन गतिविधि रिकॉर्ड करने में सक्षम बनाता है।

हमले में उपयोग किए गए प्रमुख ब्राउज़र पैरामीटर में निम्नलिखित शामिल हैं:

--नो-सैंडबॉक्स

--वेब सुरक्षा अक्षम करें

--फ़ाइलों से फ़ाइल एक्सेस की अनुमति दें

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--उपयोगकर्ता-मीडिया-सुरक्षा को अक्षम करें

इन सेटिंग्स का दुरुपयोग करके, ब्राउज़र केवल एक डिलीवरी प्लेटफॉर्म होने के बजाय मैलवेयर इंफ्रास्ट्रक्चर का एक कार्यात्मक घटक बन जाता है।

ब्राउज़र-आधारित बैकडोर और निगरानी क्षमताएं

DRILLAPP नामक यह उपकरण एक हल्का लेकिन बहुमुखी बैकडोर के रूप में कार्य करता है। सक्रिय होने पर, यह हमलावरों को ब्राउज़र-आधारित क्षमताओं के माध्यम से संक्रमित सिस्टम के साथ इंटरैक्ट करने में सक्षम बनाता है, जिससे ब्राउज़र प्रभावी रूप से एक रिमोट निगरानी उपकरण में परिवर्तित हो जाता है।

यह मैलवेयर कई ऐसे ऑपरेशन करने में सक्षम है जो प्रभावित उपकरणों से व्यापक निगरानी और डेटा संग्रह की अनुमति देते हैं।

मुख्य क्षमताओं में शामिल हैं:

• स्थानीय सिस्टम से फ़ाइलें अपलोड और डाउनलोड करना
• डिवाइस के माइक्रोफ़ोन के माध्यम से ऑडियो कैप्चर करना
• वेबकैम के माध्यम से वीडियो रिकॉर्ड करना
• सिस्टम डिस्प्ले के स्क्रीनशॉट लेना
• कैनवास फिंगरप्रिंटिंग तकनीकों का उपयोग करके एक अद्वितीय डिवाइस फिंगरप्रिंट उत्पन्न करना

पहले चरण में, मैलवेयर एक डिवाइस फिंगरप्रिंट बनाता है और कमांड-एंड-कंट्रोल संचार के लिए उपयोग किए जाने वाले वेबसॉकेट पते को प्राप्त करने के लिए पेस्टेफाई को 'डेड-ड्रॉप रिजॉल्वर' के रूप में उपयोग करता है। यह आर्किटेक्चर हमलावरों को संक्रमित सिस्टम को अपने परिचालन बुनियादी ढांचे पर गतिशील रूप से पुनर्निर्देशित करने की अनुमति देता है।

यह बैकडोर पीड़ित के अनुमानित भौगोलिक स्थान के साथ-साथ डिवाइस फिंगरप्रिंट भी भेजता है। स्थान का निर्धारण सिस्टम के टाइम ज़ोन से किया जाता है और इसकी तुलना पूर्वनिर्धारित सूची से की जाती है जिसमें यूनाइटेड किंगडम, रूस, जर्मनी, फ्रांस, चीन, जापान, संयुक्त राज्य अमेरिका, ब्राजील, भारत, यूक्रेन, कनाडा, ऑस्ट्रेलिया, इटली, स्पेन और पोलैंड शामिल हैं। यदि टाइम ज़ोन इनमें से किसी भी क्षेत्र से मेल नहीं खाता है, तो मैलवेयर डिफ़ॉल्ट रूप से सिस्टम को संयुक्त राज्य अमेरिका में स्थित मान लेता है।

द्वितीय अभियान संस्करण में विकसित होती तकनीकें

अभियान का दूसरा संस्करण फरवरी 2026 के अंत में सामने आया, जिसमें हमले की समग्र संरचना को बनाए रखते हुए कई संशोधन किए गए। LNK शॉर्टकट फ़ाइलों पर निर्भर रहने के बजाय, अद्यतन संस्करण प्रारंभिक वितरण तंत्र के रूप में विंडोज कंट्रोल पैनल मॉड्यूल का उपयोग करता है।

बैकडोर कंपोनेंट को भी कार्यात्मक अपग्रेड प्राप्त हुए हैं। इन सुधारों से मैलवेयर को फ़ाइल सिस्टम में अधिक गहन संचालन करने और संक्रमित वातावरण से डेटा निकालने की क्षमता में सुधार करने में मदद मिलती है।

उल्लेखनीय सुधारों में रिकर्सिव फाइल एन्यूमरेशन, बैच फाइल अपलोड और समझौता किए गए सिस्टम पर सीधे मनमानी फाइलों को डाउनलोड करने की क्षमता शामिल है।

क्रोमियम डिबगिंग टूल्स का उपयोग करके जावास्क्रिप्ट प्रतिबंधों को दरकिनार करना

मानक जावास्क्रिप्ट सुरक्षा प्रतिबंध आमतौर पर रिमोट कोड को पीड़ित के सिस्टम पर सीधे फ़ाइलें डाउनलोड करने से रोकते हैं। इस सीमा को दरकिनार करने के लिए, हमलावर क्रोमियम-आधारित ब्राउज़रों द्वारा उपयोग किए जाने वाले आंतरिक डिबगिंग इंटरफ़ेस, क्रोम डेवटूल्स प्रोटोकॉल (सीडीपी) का लाभ उठाते हैं।

CDP को केवल तभी एक्सेस किया जा सकता है जब ब्राउज़र को --remote-debugging-port पैरामीटर सक्षम करके लॉन्च किया जाए। इस डिबगिंग फ़ंक्शन को सक्रिय करके, हमलावर ब्राउज़र के व्यवहार को प्रोग्रामेटिक रूप से नियंत्रित करने और सामान्य क्लाइंट-साइड प्रतिबंधों को बायपास करने की क्षमता प्राप्त कर लेते हैं, जिससे दूरस्थ फ़ाइल डाउनलोड संभव हो जाते हैं जो अन्यथा अवरुद्ध हो जाते।

प्रारंभिक विकास संकेतक और प्रायोगिक अवसंरचना

सबूत बताते हैं कि मैलवेयर अभी भी सक्रिय रूप से विकसित किया जा रहा है। 28 जनवरी, 2026 को खोजा गया एक प्रारंभिक संस्करण, पेस्टिफ़ाई से अपना प्राथमिक पेलोड प्राप्त करने के बजाय, केवल 'gnome.com' डोमेन के साथ संचार करता था।

यह व्यवहार इंगित करता है कि खतरा पैदा करने वाले तत्व अभी भी अपने बुनियादी ढांचे और बैकडोर की परिचालन क्षमताओं दोनों को परिष्कृत कर रहे होंगे।

ब्राउज़र का दुरुपयोग एक उभरती हुई बचाव रणनीति के रूप में

इस अभियान का एक सबसे महत्वपूर्ण पहलू बैकडोर के प्राथमिक निष्पादन वातावरण के रूप में वेब ब्राउज़र का जानबूझकर उपयोग करना है। यह दृष्टिकोण उस बढ़ते चलन को उजागर करता है जिसमें हमलावर वैध सॉफ़्टवेयर का दुरुपयोग करके पहचान से बचने का प्रयास करते हैं।

दुर्भावनापूर्ण गतिविधियों के लिए ब्राउज़र कई फायदे प्रदान करते हैं। इनका व्यापक रूप से उपयोग किया जाता है और इन्हें आमतौर पर हानिरहित प्रक्रिया माना जाता है, जिससे तुरंत संदेह होने की संभावना कम हो जाती है। इसके अलावा, ब्राउज़र डिबगिंग पैरामीटर शक्तिशाली क्षमताओं को अनलॉक कर सकते हैं जो अन्यथा प्रतिबंधित कार्यों को सक्षम बनाते हैं, जैसे कि दूरस्थ फ़ाइल डाउनलोड और व्यापक सिस्टम एक्सेस।

इसके अलावा, ब्राउज़र संवेदनशील हार्डवेयर संसाधनों, जिनमें माइक्रोफ़ोन, कैमरे और स्क्रीन-कैप्चर तंत्र शामिल हैं, के साथ इंटरैक्ट करने के लिए वैध अनुमतियाँ बनाए रखते हैं, जो हमलावरों को सामान्य सिस्टम व्यवहार में घुलमिलकर निगरानी गतिविधियाँ करने की अनुमति देता है।