JelusRAT
JelusRAT एक रिमोट एक्सेस ट्रोजन (RAT) है जो साइबर अपराधियों को प्रभावित कंप्यूटरों पर गुप्त नियंत्रण प्रदान करता है। C++ में विकसित यह मैलवेयर अपने मुख्य पेलोड को डिक्रिप्ट और रिलीज़ करने के लिए एक विशेष लोडर पर निर्भर करता है। यह मैलवेयर किसी पारंपरिक फ़ाइल के रूप में स्थापित होने के बजाय सीधे मेमोरी में चलता है, जिससे डिस्क पर इसका आकार काफी कम हो जाता है और इसे पहचानना मुश्किल हो जाता है। यदि किसी सिस्टम पर JelusRAT पाया जाता है, तो आगे के नुकसान को रोकने के लिए इसे तुरंत हटाना अत्यंत महत्वपूर्ण है।
विषयसूची
भेस बदला हुआ लोडर और फ़ाइल रहित निष्पादन
संक्रमण की शुरुआत एक लोडर से होती है जो वैध एप्लिकेशन होने का दिखावा करता है। यह घटक दो एन्क्रिप्टेड सेगमेंट छुपाता है: एक में मुख्य मैलवेयर होता है और दूसरे में कॉन्फ़िगरेशन डेटा होता है। सक्रिय होने पर, लोडर मुख्य पेलोड को डिक्रिप्ट करता है और उसे सीधे सिस्टम मेमोरी में लॉन्च कर देता है, जिसके बाद लोडर सबूत मिटाने के लिए खुद को डिलीट कर देता है। यह 'फ़ाइल रहित' तकनीक विशेष रूप से पारंपरिक सुरक्षा प्रणालियों और फोरेंसिक विश्लेषण को दरकिनार करने के लिए डिज़ाइन की गई है।
कॉन्फ़िगरेशन हैंडलिंग और गुप्त रणनीति
निष्पादन के बाद, मुख्य पेलोड Info.ini नामक कॉन्फ़िगरेशन फ़ाइल तक पहुँचता है और परिचालन निर्देश प्राप्त करता है। फ़ाइल को पढ़ने के तुरंत बाद, घुसपैठ के निशान मिटाने के लिए इसे हटा दिया जाता है। इस फ़ाइल के अंदर का डेटा अस्पष्ट होता है, और पहले बाइट में स्थित एक छोटा एम्बेडेड मान, मैलवेयर द्वारा निर्देशों को निष्पादित करने से पहले उन्हें डिकोड करने के लिए उपयोग किया जाता है।
रिमोट कंट्रोल क्षमताएं और कमांड हैंडलिंग
JelusRAT को हमलावर के सर्वर से कई तरह के कमांड स्वीकार करने के लिए बनाया गया है। यह खुद को एक महत्वपूर्ण सिस्टम प्रोसेस घोषित कर सकता है, जिसका मतलब है कि इसे जबरदस्ती बंद करने का कोई भी प्रयास विंडोज ब्लू स्क्रीन को ट्रिगर कर सकता है, जिससे इसे मैन्युअल रूप से हटाना मुश्किल हो जाता है। यह मैलवेयर इस फंक्शन को निष्क्रिय भी कर सकता है, अपने कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर के साथ संचार करने के तरीके को बदल सकता है, या निर्देश मिलने पर खुद को बंद कर सकता है।
प्लगइन्स द्वारा संचालित एक मॉड्यूलर प्लेटफ़ॉर्म
JelusRAT अपने सभी दुर्भावनापूर्ण कार्यों को आंतरिक रूप से समाहित करने के बजाय मुख्य रूप से एक फ्रेमवर्क के रूप में कार्य करता है। यह हमलावर के सर्वर से DLL प्लगइन के रूप में अतिरिक्त ऐड-ऑन डाउनलोड कर सकता है, जिससे आवश्यकतानुसार इसकी कार्यक्षमता का विस्तार होता है। इसकी अधिकांश क्षमताएं इन्हीं मॉड्यूल के माध्यम से प्रदान की जाती हैं, जिससे हमलावर पूरे पेलोड को दोबारा तैनात किए बिना मैलवेयर को विभिन्न उद्देश्यों के अनुरूप ढाल सकते हैं।
JelusRAT का उपयोग अन्य प्रकार के मैलवेयर को फैलाने के लिए किया जा सकता है, जिनमें शामिल हैं:
- रैनसमवेयर, क्रिप्टोकरेंसी माइनर्स और सूचना चुराने वाले उपकरण
- अतिरिक्त दुर्भावनापूर्ण प्रोग्राम जो सिस्टम की सुरक्षा में बाधा को और गहरा या व्यापक बनाते हैं
JelusRAT एक गंभीर जोखिम क्यों है?
JelusRAT एक गुप्त और बेहद लचीला खतरा है। मेमोरी में रहकर काम करने, खुद को मिटाने की क्षमता और प्लगइन-आधारित डिज़ाइन के कारण यह संक्रमित सिस्टम पर लगातार और लचीला नियंत्रण बनाए रखते हुए भी पकड़ में आने से बच जाता है। ये विशेषताएं इसे विशेष रूप से खतरनाक बनाती हैं, क्योंकि यह आसानी से अधिक विनाशकारी मैलवेयर और बड़े पैमाने पर साइबर अपराध गतिविधियों के लिए एक लॉन्च प्लेटफॉर्म के रूप में काम कर सकता है।
संक्रमण के सामान्य वाहक और वितरण विधियाँ
JelusRAT जैसे मैलवेयर अक्सर सोशल इंजीनियरिंग और धोखेबाज़ी भरी ऑनलाइन गतिविधियों के ज़रिए फैलते हैं। हमलावर आम तौर पर पीड़ितों को वैध सामग्री के रूप में छिपी हुई दुर्भावनापूर्ण फ़ाइलें चलाने के लिए लुभाते हैं, जिनमें निष्पादन योग्य फ़ाइलें, स्क्रिप्ट और Word, Excel, PDF या ISO इमेज जैसे दस्तावेज़ प्रारूप शामिल होते हैं। संक्रमण अभियान अक्सर फ़िशिंग ईमेल, नकली विज्ञापन, तकनीकी सहायता घोटाले, पायरेटेड सॉफ़्टवेयर और समझौता की गई वेबसाइटों का उपयोग करके ये पेलोड भेजते हैं।
अन्य प्रचलित वितरण चैनलों में संक्रमित यूएसबी ड्राइव, पीयर-टू-पीयर नेटवर्क, तृतीय-पक्ष डाउनलोड यूटिलिटीज़ और अनपैच्ड सॉफ़्टवेयर कमजोरियों का फायदा उठाना शामिल हैं। अधिकतर मामलों में, सफल संक्रमण इसलिए होता है क्योंकि उपयोगकर्ताओं को धोखे से कोई ऐसा कार्य करने के लिए मजबूर किया जाता है जिससे मैलवेयर को अनजाने में ही सिस्टम में प्रवेश करने का मौका मिल जाता है।
