PEAKLIGHT डाउनलोडर

साइबरसुरक्षा अनुसन्धानकर्ताहरूले पछिल्लो मालवेयर चरणहरू प्रयोग गर्न डिजाइन गरिएको एक उपन्यास ड्रपर पत्ता लगाएका छन्, अन्ततः सूचना चोरहरू र लोडरहरूसँग विन्डोज प्रणालीहरूलाई लक्षित गर्दै।

यो मेमोरी-मात्र ड्रपरले PEAKLIGHT को रूपमा चिनिने PowerShell-आधारित डाउनलोडरलाई डिक्रिप्ट गर्छ र चलाउँछ। यस विधि मार्फत वितरित मालवेयर स्ट्रेनहरूमा Lumma Stealer , Hijack Loader (DOILoader, IDAT Loader, वा SHADOWLADDER को रूपमा पनि चिनिन्छ), र CryptBot समावेश छन्, ती सबै मालवेयर-ए-सेवा (MaaS) मोडेलको अंशको रूपमा प्रस्ताव गरिएका छन्।

प्रारम्भिक आक्रमण भेक्टर र आक्रमण श्रृंखला

आक्रमण श्रृंखला Windows सर्टकट (LNK) फाइलबाट सुरु हुन्छ जुन ड्राइभ-द्वारा डाउनलोड विधिहरू मार्फत डाउनलोड गरिन्छ, जस्तै जब प्रयोगकर्ताहरूले चलचित्रहरू अनलाइन खोज्छन्। यी LNK फाइलहरू पाइरेटेड फिल्महरूको भेषमा ZIP अभिलेखहरूमा प्याकेज गरिएका छन्।

एक पटक डाउनलोड भएपछि, LNK फाइल सामग्री डेलिभरी नेटवर्क (CDN) मा जडान हुन्छ जसले अस्पष्ट, मेमोरी-मात्र जाभास्क्रिप्ट ड्रपर होस्ट गर्दछ। यस ड्रपरले त्यसपछि पीडितको मेसिनमा PEAKLIGHT PowerShell डाउनलोडर स्क्रिप्ट कार्यान्वयन गर्दछ, जसले अर्को पेलोडहरू पुन: प्राप्त गर्न कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरलाई सम्पर्क गर्दछ।

अन्वेषकहरूले विभिन्न LNK फाइल भिन्नताहरू अवलोकन गरेका छन्, कतिपयले वैध mshta.exe बाइनरीलाई आह्वान गर्न वाइल्डकार्डको रूपमा तारा चिन्ह (*) प्रयोग गरेर, दुर्भावनापूर्ण कोड (जस्तै, ड्रपर) लाई रिमोट सर्भरबाट सावधानीपूर्वक कार्यान्वयन गर्न अनुमति दिँदै।

PEAKLIGHT ले वैध चलचित्रहरूको पछाडि यसको धम्कीपूर्ण कार्य लुकाउँछ

त्यसैगरी, ड्रपरहरूमा हेक्स-इन्कोडेड र बेस 64-इन्कोडेड पावरशेल पेलोडहरू दुवै समावेश भएको फेला परेको छ। यी पेलोडहरू PEAKLIGHT चलाउनको लागि अनप्याक गरिएको छ, एक संक्रमित प्रणालीमा पछिको मालवेयर डिप्लोय गर्नको लागि डिजाइन गरिएको उपकरण हो जबकि वैध चलचित्र ट्रेलर डाउनलोड गर्दा, सम्भवतः डिकोयको रूपमा।

PEAKLIGHT ले बहु-चरण कार्यान्वयन श्रृंखला भित्र अस्पष्ट PowerShell-आधारित डाउनलोडरको रूपमा कार्य गर्दछ। यसले विशिष्ट हार्ड-कोड गरिएको फाइल मार्गहरूमा ZIP अभिलेखहरू खोज्छ। यदि यी अभिलेखहरू फेला परेनन् भने, डाउनलोडरले अभिलेख फाइल डाउनलोड गर्न र डिस्कमा बचत गर्न CDN साइटलाई सम्पर्क गर्दछ।

पाइरेटेड चलचित्रहरू खोज्ने प्रयोगकर्ताहरूलाई लक्षित गर्ने मालवेयरको यो पहिलो उदाहरण होइन। जुन २०२४ को प्रारम्भमा, अन्वेषकहरूले एक परिष्कृत संक्रमण श्रृंखलाको पर्दाफाश गरे जसको परिणामस्वरूप हाइज्याक लोडरलाई चलचित्र डाउनलोड साइटबाट एक भिडियो फाइल डाउनलोड गर्ने प्रयास पछि प्रयोग गरिएको थियो।

डाउनलोडरहरूले थप विशेष मालवेयरको लागि ढोका खोल्छन्

डाउनलोडर मालवेयरले व्यक्ति र संस्था दुवैलाई धेरै महत्त्वपूर्ण खतराहरू निम्त्याउँछ:

• प्रारम्भिक सम्झौता : डाउनलोडर मालवेयर प्रायः ठूलो आक्रमणको पहिलो चरण हो। एक पटक स्थापना भएपछि, यसले चुपचाप थप उन्नत मालवेयर सहित अतिरिक्त खराब पेलोडहरू डाउनलोड र स्थापना गर्न सक्छ।
• डाटा चोरी : डाउनलोडर मालवेयर द्वारा डेलिभर गरिएका अतिरिक्त पेलोडहरूमा लगइन प्रमाणहरू, वित्तीय जानकारी, र व्यक्तिगत विवरणहरू जस्ता निजी डेटा क्याप्चर गर्ने जानकारी चोरहरू समावेश हुन सक्छन्, जसले पहिचान चोरी र वित्तीय हानि निम्त्याउँछ।
• प्रणाली अपहरण : केही डाउनलोडर मालवेयरहरू रिमोट पहुँच उपकरणहरू वा ब्याकडोरहरू प्रयोग गर्न डिजाइन गरिएको छ, जसले आक्रमणकर्ताहरूलाई संक्रमित प्रणालीमा नियन्त्रण प्राप्त गर्न अनुमति दिन्छ। यसले कर्पोरेट नेटवर्कहरूमा अनाधिकृत पहुँच, डाटा उल्लंघन, र थप प्रणाली सम्झौताको नेतृत्व गर्न सक्छ।
• Ransomware Deployment : डाउनलोडर मालवेयर ransomware स्थापना गर्न प्रयोग गर्न सकिन्छ, जसले पीडितको फाइलहरू इन्क्रिप्ट गर्न सक्छ र तिनीहरूको रिलिजको लागि फिरौती भुक्तानीको माग गर्न सक्छ। यसले महत्त्वपूर्ण डेटा हानि र परिचालन अवरोधको परिणाम हुन सक्छ।
• बढ्दो जोखिम : एक पटक स्थापना भएपछि, डाउनलोडर मालवेयरले प्रणाली प्रतिरक्षालाई कमजोर बनाउन सक्छ र अन्य प्रकारका मालवेयरहरूले शोषण गर्न सक्ने कमजोरीहरू सिर्जना गर्न सक्छ। यसले आक्रमणकारीहरूलाई थप खतरनाक वा निरन्तर खतराहरू प्रयोग गर्न सजिलो बनाउँछ।
• नेटवर्क प्रचार : डाउनलोडर मालवेयर नेटवर्कहरूमा फैलिन सक्छ, अन्य यन्त्रहरू र प्रणालीहरूलाई उही वातावरण भित्र संक्रमित गर्न सक्छ। यसले व्यापक क्षति निम्त्याउन सक्छ र सुधार प्रयासहरूको जटिलता बढाउन सक्छ।
• रिसोर्स ड्रेन : मालवेयरले प्रणाली स्रोतहरू जस्तै CPU र ब्यान्डविथ उपभोग गर्न सक्छ, जसले कार्यसम्पादनमा गिरावट र सम्भावित सेवा आउटेजहरू निम्त्याउँछ। यसले उत्पादकतालाई असर गर्न सक्छ र परिचालन लागत बढाउन सक्छ।
• कानूनी र अनुपालन जोखिमहरू : संक्रमित संस्थाहरूले कानूनी र अनुपालन मुद्दाहरूको सामना गर्न सक्छन्, विशेष गरी यदि डाटा उल्लंघनमा संवेदनशील वा विनियमित जानकारी समावेश छ। यसले जरिवाना, कानुनी कारबाही र प्रतिष्ठालाई क्षति पुर्याउन सक्छ।

समग्रमा, डाउनलोडर मालवेयर थप आक्रमणहरूलाई सहज बनाउन र प्रभावित प्रणाली र सञ्जालहरूको सुरक्षा र अखण्डतालाई असर पार्ने भूमिकाका कारण गम्भीर खतरा हो।