दोहरे पेलोड वाला मैलवेयर अभियान

हाल ही में सामने आए एक मैलवेयर अभियान ने साइबर सुरक्षा समुदाय में काफी ध्यान आकर्षित किया है, क्योंकि यह एक साथ दो अलग-अलग खतरों को फैलाने में सक्षम है। एक ही अस्पष्ट लोडर का उपयोग करके Gh0st RAT और CloverPlus दोनों को एक ही प्रभावित सिस्टम पर पहुंचाया जाता है।

यह संयोजन असामान्य होने के साथ-साथ बेहद रणनीतिक भी है। Gh0st RAT संक्रमित मशीन पर पूर्ण रिमोट कंट्रोल सक्षम बनाता है, जबकि CloverPlus ब्राउज़र गतिविधि में हेरफेर करने, विज्ञापन घटकों को इंजेक्ट करने और घुसपैठ वाले पॉप-अप के माध्यम से राजस्व उत्पन्न करने पर केंद्रित है। यह दोहरा उपयोग हमलावरों को वास्तविक समय में संक्रमण से कमाई करते हुए लगातार अनधिकृत पहुंच बनाए रखने की अनुमति देता है।

यह अभियान मल्टी-पेलोड डिलीवरी की ओर बढ़ते रुझान को उजागर करता है, जहां हमलावर एक ही हमले से परिचालन दक्षता और वित्तीय लाभ को अधिकतम करते हैं।

अस्पष्टीकरण की रणनीति: पेलोड को छुपाना

इस अभियान के केंद्र में मौजूद लोडर को गुप्त रूप से काम करने के लिए डिज़ाइन किया गया है। यह अपने संसाधन अनुभाग में दो एन्क्रिप्टेड पेलोड को एम्बेड करता है, और पारंपरिक पहचान तंत्रों से बचने के लिए अस्पष्टीकरण तकनीकों का उपयोग करता है।

यह प्रक्रिया CloverPlus एडवेयर मॉड्यूल से शुरू होती है, जिसे AdWare.Win32.CloverPlus के रूप में पहचाना जाता है और यह wiseman.exe नामक एक्जीक्यूटेबल फ़ाइल से जुड़ा होता है। यह घटक ब्राउज़र की स्टार्टअप सेटिंग्स को संशोधित करता है और लगातार पॉप-अप विज्ञापन दिखाता है।

इसके बाद, लोडर अपने निष्पादन पथ का मूल्यांकन करता है। यदि यह सिस्टम के %temp% डायरेक्टरी से संचालित नहीं हो रहा है, तो आगे बढ़ने से पहले यह अपनी एक प्रति वहाँ बना लेता है। अगला चरण Gh0st RAT क्लाइंट मॉड्यूल को डिक्रिप्ट करना है, जो मैलवेयर बाइनरी के भीतर एक एन्क्रिप्टेड संसाधन के रूप में छिपा हुआ है।

एक बार डिक्रिप्ट हो जाने के बाद, मैलवेयर पेलोड को एक यादृच्छिक फ़ाइल नाम देता है और इसे C:\ ड्राइव के रूट में स्थित एक यादृच्छिक नाम वाले फ़ोल्डर में संग्रहीत करता है, जिससे इसका पता लगाना और विश्लेषण करना और भी जटिल हो जाता है।

प्राकृतिक संसाधनों से जीवन यापन: भरोसेमंद उपकरण, दुर्भावनापूर्ण इरादे

डिक्रिप्ट किए गए पेलोड को निष्पादित करने के लिए, मैलवेयर वैध विंडोज यूटिलिटी rundll32.exe का उपयोग करता है। यह तरीका दुर्भावनापूर्ण कोड को एक विश्वसनीय सिस्टम प्रक्रिया की आड़ में निष्पादित करने में सक्षम बनाता है, जिससे सुरक्षा प्रणालियों के सक्रिय होने की संभावना काफी कम हो जाती है।

एक बार सक्रिय होने पर, Gh0st RAT प्रभावित सिस्टम की प्रोफाइलिंग शुरू कर देता है और MAC एड्रेस और हार्ड ड्राइव सीरियल नंबर जैसे विशिष्ट पहचानकर्ताओं को एकत्र करता है। इन विवरणों का उपयोग हमलावर के कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर में पीड़ित को पंजीकृत करने के लिए किया जाता है, जिससे संक्रमित होस्ट की सटीक ट्रैकिंग और प्रबंधन सुनिश्चित होता है।

निरंतरता तंत्र: दीर्घकालिक पहुंच सुनिश्चित करना

सिस्टम रीबूट के बाद भी एक्सेस बनाए रखना इस अभियान का एक प्रमुख उद्देश्य है। Gh0st RAT ऑपरेटिंग सिस्टम में गहराई से अंतर्निहित कई तकनीकों के माध्यम से निरंतरता प्राप्त करता है:

स्टार्टअप पर स्वचालित निष्पादन सुनिश्चित करने के लिए विंडोज रन रजिस्ट्री कुंजी में संशोधन।
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip के अंतर्गत रिमोट एक्सेस सेवा पथ में एक दुर्भावनापूर्ण DLL का पंजीकरण

ये विधियाँ संबंधित सेवा के लॉन्च होने पर मैलवेयर को सिस्टम-स्तरीय विशेषाधिकार प्रदान करती हैं, जिससे उपयोगकर्ता की आगे की बातचीत की आवश्यकता समाप्त हो जाती है और दीर्घकालिक नियंत्रण मजबूत होता है।

पता लगाना और बचाव: सुरक्षा उल्लंघन के संकेतक

इस अभियान का असर व्यक्तियों और संगठनों दोनों पर काफी पड़ता है। एडवेयर घटक ब्राउज़र की कार्यक्षमता को बाधित करता है और दुर्भावनापूर्ण विज्ञापनों के संपर्क में आने का खतरा बढ़ाता है, वहीं RAT घटक डेटा चोरी, कीस्ट्रोक लॉगिंग, सुरक्षा में सेंधमारी और लगातार विशेषाधिकार प्राप्त पहुंच को सक्षम बनाता है।

सुरक्षा टीमों को सतर्क रहना चाहिए और सुरक्षा में सेंधमारी के निम्नलिखित संकेतों पर नज़र रखनी चाहिए:

• rundll32.exe का निष्पादन असामान्य या संदिग्ध निर्देशिकाओं से DLL या गैर-मानक फ़ाइल एक्सटेंशन लोड करता है।
• %temp% फ़ोल्डर से उत्पन्न होने वाली प्रक्रिया गतिविधि
• रजिस्ट्री रन कुंजियों या रिमोटएक्सेस सेवा कॉन्फ़िगरेशन में अनधिकृत संशोधन
• सैंडबॉक्स डिटेक्शन से बचने के लिए पिंग-आधारित विलंब का उपयोग
• DNS ट्रैफ़िक के असामान्य पैटर्न और सिस्टम होस्ट फ़ाइल में अप्रत्याशित परिवर्तन

इस परिष्कृत दोहरे खतरे वाले मैलवेयर अभियान से उत्पन्न जोखिमों को कम करने के लिए इन संकेतों की सक्रिय निगरानी और त्वरित प्रतिक्रिया महत्वपूर्ण है।