पीकलाइट डाउनलोडर

साइबर सुरक्षा शोधकर्ताओं ने एक नए ड्रॉपर की खोज की है, जिसे बाद के मैलवेयर चरणों को तैनात करने के लिए डिज़ाइन किया गया है, जो अंततः सूचना चुराने वालों और लोडरों के साथ विंडोज सिस्टम को लक्षित करता है।

यह मेमोरी-ओनली ड्रॉपर डिक्रिप्ट करता है और पॉवरशेल-आधारित डाउनलोडर चलाता है, जिसे PEAKLIGHT के रूप में पहचाना जाता है। इस पद्धति के माध्यम से वितरित मैलवेयर स्ट्रेन में लुम्मा स्टीलर , हाईजैक लोडर (जिसे DOILoader, IDAT लोडर या SHADOWLADDER के रूप में भी जाना जाता है) और क्रिप्टबॉट शामिल हैं, जिनमें से सभी को मैलवेयर-एज़-ए-सर्विस (MaaS) मॉडल के हिस्से के रूप में पेश किया जाता है।

प्रारंभिक आक्रमण वेक्टर और आक्रमण श्रृंखला

हमले की श्रृंखला विंडोज शॉर्टकट (LNK) फ़ाइल से शुरू होती है जिसे ड्राइव-बाय डाउनलोड विधियों के माध्यम से डाउनलोड किया जाता है, जैसे कि जब उपयोगकर्ता ऑनलाइन फ़िल्में खोजते हैं। ये LNK फ़ाइलें पायरेटेड फ़िल्मों के रूप में प्रच्छन्न ज़िप अभिलेखागार में पैक की जाती हैं।

डाउनलोड होने के बाद, LNK फ़ाइल एक कंटेंट डिलीवरी नेटवर्क (CDN) से जुड़ती है जो एक अस्पष्ट, मेमोरी-ओनली जावास्क्रिप्ट ड्रॉपर होस्ट करता है। यह ड्रॉपर फिर पीड़ित की मशीन पर PEAKLIGHT PowerShell डाउनलोडर स्क्रिप्ट निष्पादित करता है, जो बदले में, आगे के पेलोड को पुनः प्राप्त करने के लिए एक कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करता है।

शोधकर्ताओं ने विभिन्न LNK फ़ाइल विविधताओं को देखा है, जिनमें से कुछ में वैध mshta.exe बाइनरी को आमंत्रित करने के लिए वाइल्डकार्ड के रूप में तारांकन (*) का उपयोग किया गया है, जिससे दुर्भावनापूर्ण कोड (यानी, ड्रॉपर) को दूरस्थ सर्वर से गुप्त रूप से निष्पादित किया जा सकता है।

पीकलाइट अपनी धमकी भरी कार्रवाई को वैध फिल्मों के पीछे छिपाता है

इसी तरह, ड्रॉपर में हेक्स-एनकोडेड और बेस64-एनकोडेड पॉवरशेल पेलोड दोनों पाए गए हैं। इन पेलोड को PEAKLIGHT चलाने के लिए अनपैक किया जाता है, जो एक ऐसा उपकरण है जो संक्रमित सिस्टम पर बाद में मैलवेयर तैनात करने के लिए डिज़ाइन किया गया है, साथ ही एक वैध मूवी ट्रेलर भी डाउनलोड करता है, संभवतः एक प्रलोभन के रूप में।

PEAKLIGHT एक बहु-चरणीय निष्पादन श्रृंखला के भीतर एक अस्पष्ट PowerShell-आधारित डाउनलोडर के रूप में कार्य करता है। यह विशिष्ट हार्ड-कोडेड फ़ाइल पथों में ZIP अभिलेखागार की खोज करता है। यदि ये अभिलेखागार नहीं मिलते हैं, तो डाउनलोडर संग्रह फ़ाइल को डाउनलोड करने और उसे डिस्क पर सहेजने के लिए CDN साइट से संपर्क करता है।

यह मैलवेयर द्वारा पायरेटेड मूवीज़ की खोज करने वाले उपयोगकर्ताओं को लक्षित करने का पहला मामला नहीं है। जून 2024 की शुरुआत में, शोधकर्ताओं ने एक परिष्कृत संक्रमण श्रृंखला का पता लगाया, जिसके परिणामस्वरूप मूवी डाउनलोड साइट से वीडियो फ़ाइल डाउनलोड करने के प्रयास के बाद हाईजैक लोडर की तैनाती हुई।

डाउनलोडर अधिक विशिष्ट मैलवेयर के लिए द्वार खोलते हैं

डाउनलोडर मैलवेयर व्यक्तियों और संगठनों दोनों के लिए कई महत्वपूर्ण खतरे पैदा करता है:

• प्रारंभिक समझौता : डाउनलोडर मैलवेयर अक्सर बड़े हमले का पहला चरण होता है। एक बार इंस्टॉल हो जाने के बाद, यह चुपचाप अतिरिक्त दुर्भावनापूर्ण पेलोड डाउनलोड और इंस्टॉल कर सकता है, जिसमें अधिक उन्नत मैलवेयर शामिल हैं।
• डेटा चोरी : डाउनलोडर मैलवेयर द्वारा वितरित अतिरिक्त पेलोड में सूचना चोर शामिल हो सकते हैं जो निजी डेटा, जैसे लॉगिन क्रेडेंशियल, वित्तीय जानकारी और व्यक्तिगत विवरण पर कब्जा कर लेते हैं, जिससे पहचान की चोरी और वित्तीय हानि होती है।
• सिस्टम हाइजैकिंग : कुछ डाउनलोडर मैलवेयर रिमोट एक्सेस टूल या बैकडोर तैनात करने के लिए डिज़ाइन किए गए हैं, जिससे हमलावरों को संक्रमित सिस्टम पर नियंत्रण प्राप्त करने की अनुमति मिलती है। इससे कॉर्पोरेट नेटवर्क तक अनधिकृत पहुँच, डेटा उल्लंघन और आगे सिस्टम समझौता हो सकता है।
• रैनसमवेयर की तैनाती : डाउनलोडर मैलवेयर का इस्तेमाल रैनसमवेयर को इंस्टॉल करने के लिए किया जा सकता है, जो पीड़ित की फ़ाइलों को एन्क्रिप्ट कर सकता है और उन्हें रिलीज़ करने के लिए फिरौती की मांग कर सकता है। इसके परिणामस्वरूप महत्वपूर्ण डेटा हानि और परिचालन व्यवधान हो सकता है।
• बढ़ी हुई भेद्यता : एक बार इंस्टॉल हो जाने पर, डाउनलोडर मैलवेयर सिस्टम सुरक्षा को कमज़ोर कर सकता है और ऐसी कमज़ोरियाँ पैदा कर सकता है जिनका दूसरे प्रकार के मैलवेयर फ़ायदा उठा सकते हैं। इससे हमलावरों के लिए ज़्यादा ख़तरनाक या लगातार खतरों को तैनात करना आसान हो जाता है।
• नेटवर्क प्रसार : डाउनलोडर मैलवेयर पूरे नेटवर्क में फैल सकता है, उसी वातावरण में अन्य डिवाइस और सिस्टम को संक्रमित कर सकता है। इससे व्यापक क्षति हो सकती है और उपचार प्रयासों की जटिलता बढ़ सकती है।
• संसाधन की कमी : मैलवेयर CPU और बैंडविड्थ जैसे सिस्टम संसाधनों का उपभोग कर सकता है, जिससे प्रदर्शन में गिरावट और संभावित सेवा व्यवधान हो सकता है। इससे उत्पादकता प्रभावित हो सकती है और परिचालन लागत बढ़ सकती है।
• कानूनी और अनुपालन जोखिम : संक्रमित संगठनों को कानूनी और अनुपालन मुद्दों का सामना करना पड़ सकता है, खासकर अगर डेटा उल्लंघन में संवेदनशील या विनियमित जानकारी शामिल हो। इसके परिणामस्वरूप जुर्माना, कानूनी कार्रवाई और प्रतिष्ठा को नुकसान हो सकता है।

कुल मिलाकर, डाउनलोडर मैलवेयर एक गंभीर खतरा है, क्योंकि यह आगे के हमलों को बढ़ावा देने तथा प्रभावित प्रणालियों और नेटवर्कों की सुरक्षा और अखंडता को प्रभावित करने में अपनी भूमिका निभाता है।