ਰੰਗ-ਅੰਨ੍ਹਾ RAT

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਈਥਨ ਪੈਕੇਜ ਇੰਡੈਕਸ (PyPI) 'ਤੇ ਅਪਲੋਡ ਕੀਤੇ ਇੱਕ ਧਮਕੀ ਭਰੇ ਪਾਇਥਨ ਪੈਕੇਜ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਹਾਨੀਕਾਰਕ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਸ਼ਾਮਲ ਹੈ। ਪੈਕੇਜ ਦਾ ਨਾਮ 'ਕਲਰਫੂਲ' ਰੱਖਿਆ ਗਿਆ ਸੀ ਅਤੇ ਇੱਕ ਸੁਰੱਖਿਆ ਖੋਜ ਟੀਮ ਦੁਆਰਾ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਨੇ ਮਾਲਵੇਅਰ ਖਤਰੇ ਨੂੰ ਖੁਦ 'ਕਲਰ-ਬਲਾਈਂਡ' ਦਾ ਨਾਮ ਦਿੱਤਾ ਸੀ।

ਇਹ ਘਟਨਾ ਲੋਕਤੰਤਰੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਜਿੱਥੇ ਮਾੜੀ ਸੋਚ ਵਾਲੇ ਐਕਟਰ ਆਪਣੇ ਇਰਾਦਿਆਂ ਲਈ ਮੌਜੂਦਾ ਕੋਡ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਐਕਸੈਸ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਦੁਬਾਰਾ ਤਿਆਰ ਕਰ ਸਕਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਮਝਾਇਆ ਕਿ ਔਨਲਾਈਨ ਅਪਰਾਧ ਦਾ ਲੋਕਤੰਤਰੀਕਰਨ ਇੱਕ ਤੀਬਰ ਖ਼ਤਰੇ ਦੇ ਲੈਂਡਸਕੇਪ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਦੂਜਿਆਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਕੋਡ ਦਾ ਲਾਭ ਲੈ ਕੇ ਆਪਣੇ ਮਾਲਵੇਅਰ ਦੇ ਕਈ ਰੂਪ ਬਣਾ ਸਕਦੇ ਹਨ।

ਹੋਰ ਹਾਲੀਆ ਠੱਗ ਪਾਈਥਨ ਮੋਡੀਊਲ ਵਾਂਗ, ਕਲਰ-ਬਲਾਈਂਡ ਸੈੱਟਅੱਪ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਇਸਦੇ ਖਰਾਬ ਕੋਡ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਇੱਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਸੈੱਟਅੱਪ ਸਕ੍ਰਿਪਟ ਫਿਰ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਪੇਲੋਡ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੀ ਹੈ ਜੋ ਜਾਇਜ਼ ਡਿਸਕਾਰਡ ਪਲੇਟਫਾਰਮ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਕੁਝ ਪਰੰਪਰਾਗਤ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਹਟਾਉਣਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

ਕਲਰ-ਬਲਾਈਂਡ ਰੈਟ 'ਸੱਪ' ਗੇਮ ਲਈ ਕੋਡ ਰੱਖਦਾ ਹੈ

ਮਾਲਵੇਅਰ ਇੱਕ ਨਿਰੰਤਰਤਾ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ 'ਜ਼ਰੂਰੀ' ਨਾਮ ਦੀ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ (VB) ਸਕ੍ਰਿਪਟ ਜੋੜਨਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। vbs' ਨੂੰ ਯੂਜ਼ਰ ਦੇ 'ਸਟਾਰਟ ਮੇਨੂ' ਵਿੱਚ 'ਸਟਾਰਟ ਅੱਪ' ਫੋਲਡਰ ਵਿੱਚ ਭੇਜੋ। ਲੌਗਇਨ ਕਰਨ 'ਤੇ, VB ਸਕ੍ਰਿਪਟ ਇੱਕ ਵਿੰਡੋਜ਼ ਬੈਚ ਫਾਈਲ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ ਜਿਸ ਨੂੰ ਮਾਲਵੇਅਰ ਉਸੇ ਫੋਲਡਰ ਵਿੱਚ 'python.exe' ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ। ਇਹ ਬੈਚ ਫਾਈਲ ਹਰ ਵਾਰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਲੌਗ ਇਨ ਕਰਨ 'ਤੇ ਪਾਈਥਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਮਾਲਵੇਅਰ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦਾ ਹੈ ਅਤੇ ਸਿਸਟਮ 'ਤੇ ਮੌਜੂਦ ਹੈ।

ਮਾਲਵੇਅਰ ਵਿੱਚ ਇੱਕ ਫਾਈਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਫੰਕਸ਼ਨ ਹੈ ਜੋ 'ਟ੍ਰਾਂਸਫਰ[.]sh,' ਇੱਕ ਅਗਿਆਤ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਵੈਬਸਾਈਟ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਪ੍ਰਸਿੱਧ ਹੈ। ਮਾਲਵੇਅਰ ਵਿੱਚ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਨਾਲ ਸਬੰਧਤ ਕੋਡ ਵੀ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜੋ ਇੱਕ ਗਲਤੀ ਸੁਨੇਹਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਮਾਲਵੇਅਰ ਨੂੰ ਇੱਕ ਪ੍ਰਬੰਧਕ ਵਜੋਂ ਦੁਬਾਰਾ ਚਲਾਉਣ ਲਈ ਮਨਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਵਿੱਚ 'ਸੱਪ' ਗੇਮ ਦਾ ਇੱਕ ਏਮਬੇਡਡ ਸੰਸਕਰਣ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ ਇੱਕ GitHub ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ ਕੋਡ ਦੀ ਸਿੱਧੀ ਕਾਪੀ ਜਾਪਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਗੇਮ ਕਿਸੇ ਪ੍ਰਤੱਖ ਉਦੇਸ਼ ਦੀ ਪੂਰਤੀ ਨਹੀਂ ਕਰਦੀ ਹੈ ਅਤੇ ਚਲਾਉਣ ਵੇਲੇ ਸ਼ੁਰੂ ਨਹੀਂ ਹੁੰਦੀ ਹੈ।

ਮਾਲਵੇਅਰ ਕਈ ਉਪ-ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕੂਕੀਜ਼, ਪਾਸਵਰਡ, ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਇਕੱਠੇ ਕਰਨ ਲਈ ਥ੍ਰੈਡ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਰਿਮੋਟ ਕੰਟਰੋਲ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ, ਮਾਲਵੇਅਰ ਫਲਾਸਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਧਮਕੀ ਫਿਰ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਕਲਾਉਡਫਲੇਅਰ ਦੀ ਰਿਵਰਸ ਟਨਲ ਉਪਯੋਗਤਾ ਦੁਆਰਾ 'ਕਲਾਊਡਫਲੇਰਡ' ਨਾਮਕ ਇੰਟਰਨੈਟ ਲਈ ਪਹੁੰਚਯੋਗ ਬਣਾ ਦਿੰਦੀ ਹੈ। ਇਸ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਕਿਸੇ ਵੀ ਇਨਬਾਉਂਡ ਫਾਇਰਵਾਲ ਨਿਯਮਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਨਿਰੰਤਰ ਮੌਜੂਦਗੀ ਨੂੰ ਕਾਇਮ ਰੱਖ ਸਕਦਾ ਹੈ।

ਕਲਰ-ਬਲਾਈਂਡ RAT ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤ੍ਰਿਤ ਸੈੱਟ

ਕਲਰ-ਬਲਾਈਂਡ RAT ਅਤੇ ਇਸ ਦੀਆਂ ਵੱਖ-ਵੱਖ ਹਾਨੀਕਾਰਕ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਰਾਹੀਂ ਕੰਟਰੋਲ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਟੋਕਨ ਫੰਕਸ਼ਨ ਕਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਲੌਗਇਨ ਟੋਕਨਾਂ ਨੂੰ ਡੰਪ ਕਰ ਸਕਦਾ ਹੈ ਜੋ electron.io ਜਾਂ ਕ੍ਰੋਮੀਅਮ ਦੁਆਰਾ ਸਿੱਧੇ ਐਪਲੀਕੇਸ਼ਨ ਫਰੇਮਵਰਕ ਦੇ ਤੌਰ 'ਤੇ ਕ੍ਰੋਮੀਅਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਡਿਸਕਾਰਡ ਸ਼ਾਮਲ ਹੈ। ਪਾਸਵਰਡ ਫੰਕਸ਼ਨ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਐਕਸਟਰੈਕਟ ਕੀਤੇ ਪਾਸਵਰਡਾਂ ਨੂੰ ਸਕ੍ਰੀਨ 'ਤੇ ਡੰਪ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਕੂਕੀਜ਼ ਫੰਕਸ਼ਨ ਸਾਰੀਆਂ ਬ੍ਰਾਊਜ਼ਰ ਕੂਕੀਜ਼ ਨੂੰ ਸਕ੍ਰੀਨ 'ਤੇ ਡੰਪ ਕਰਦਾ ਹੈ। ਕੁੰਜੀਆਂ ਫੰਕਸ਼ਨ ਕੈਪਚਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਕੁੰਜੀ ਲੌਗਰਸ ਨੂੰ ਡੰਪ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਸਕ੍ਰੀਨ 'ਤੇ ਦਿਖਾਉਂਦੀ ਹੈ।

RAT ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਫੰਕਸ਼ਨ ਵੀ ਹੈ, ਜੋ ਵਰਤਮਾਨ ਵਿੱਚ ਕਿਰਿਆਸ਼ੀਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸੂਚੀ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਇੱਕ ਬਟਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਡੇਟਾ ਡੰਪ ਫੰਕਸ਼ਨ ਸਾਰੇ ਕੈਪਚਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ C2 URL ਨੂੰ ਭੇਜਦਾ ਹੈ। ਸਕਰੀਨ ਫੰਕਸ਼ਨ ਉਪਭੋਗਤਾ ਦੇ ਡੈਸਕਟੌਪ ਦਾ ਇੱਕ ਸਕ੍ਰੀਨਸ਼ੌਟ ਦਿਖਾਉਂਦਾ ਹੈ ਅਤੇ ਮੁਢਲੇ ਪਰਸਪਰ ਪ੍ਰਭਾਵ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਕੁੰਜੀ ਦਬਾਓ। ਧਮਕੀ IP ਜਾਣਕਾਰੀ ਵੀ ਲੱਭ ਸਕਦੀ ਹੈ ਅਤੇ ਇੱਕ ਵੱਖਰੇ ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸਨੂੰ ਸਕ੍ਰੀਨ 'ਤੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰ ਸਕਦੀ ਹੈ। ਇਹ ਇੱਕ ਦਿੱਤੇ ਵੈੱਬਪੇਜ ਲਈ ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਖੋਲ੍ਹ ਸਕਦਾ ਹੈ ਅਤੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੁਆਰਾ ਕਮਾਂਡਾਂ ਚਲਾ ਸਕਦਾ ਹੈ। ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲੇਟ ਦੀ ਜਾਣਕਾਰੀ ਫੈਂਟਮ/ਮੇਟਾਮਾਸਕ ਫੰਕਸ਼ਨ ਦੁਆਰਾ ਉਲੰਘਣਾ ਕੀਤੀ ਡਿਵਾਈਸ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।

ਹਾਲਾਂਕਿ, ਕਲਰ-ਬਲਾਈਂਡ RAT ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਹੋਰ ਵੀ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਵੈਬ ਕੈਮਰੇ ਰਾਹੀਂ ਕਿਸੇ ਸ਼ੱਕੀ ਉਪਭੋਗਤਾ ਦੀ ਜਾਸੂਸੀ ਕਰਨ ਲਈ /ਕੈਮਰਾ ਐਂਡਪੁਆਇੰਟ ਦੀ ਵਰਤੋਂ ਕਰਨਾ। 'hvnc' ਨਾਲ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਕਈ ਅੰਤਮ ਬਿੰਦੂ ਵੀ ਹਨ, ਜੋ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਬਣਾਏ ਗਏ ਲੁਕਵੇਂ ਡੈਸਕਟਾਪ ਨਾਲ ਨਜਿੱਠਦੇ ਹਨ। /hvncmanager ਫੰਕਸ਼ਨ ਇਸ ਲੁਕਵੇਂ ਡੈਸਕਟਾਪ ਉੱਤੇ ਵੈੱਬ ਬਰਾਊਜ਼ਰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਸਹਾਇਕ ਹੈ। /hvnc ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਲੁਕੇ ਹੋਏ ਡੈਸਕਟਾਪ ਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਇਸ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਅਜਿਹੇ ਲੁਕਵੇਂ ਢੰਗ ਨਾਲ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਖੋਲ੍ਹਣ ਦੀ ਸਮਰੱਥਾ ਦਾ ਸ਼ੋਸ਼ਣ ਪੀੜਤ ਦੇ ਇੰਟਰਨੈੱਟ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਜਾਂ ਉਹਨਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। /hvncitem ਫੰਕਸ਼ਨ ਹਮਲਾਵਰਾਂ ਨੂੰ URL ਪੈਰਾਮੀਟਰ 'ਸਟਾਰਟ' ਦੀ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ ਲੁਕਵੇਂ ਡੈਸਕਟਾਪ 'ਤੇ ਕਸਟਮ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।