DeepLoad ਮਾਲਵੇਅਰ

ਇੱਕ ਨਵੀਂ ਪਛਾਣੀ ਗਈ ਹਮਲਾ ਮੁਹਿੰਮ ਲਾਗ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ClickFix ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਮਨਘੜਤ ਸਿਸਟਮ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਵਿੱਚ ਪੇਸਟ ਕਰਕੇ ਖਤਰਨਾਕ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਸ਼ੁਰੂਆਤੀ ਕਦਮ mshta.exe, ਇੱਕ ਜਾਇਜ਼ Windows ਉਪਯੋਗਤਾ, ਨੂੰ ਇੱਕ ਅਸਪਸ਼ਟ PowerShell-ਅਧਾਰਿਤ ਲੋਡਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਵਰਤਦਾ ਹੈ।

ਚੋਰੀ ਲਈ ਗੁੰਝਲਦਾਰ ਇੰਜੀਨੀਅਰਿੰਗ

ਪਾਵਰਸ਼ੈਲ ਲੋਡਰ ਆਪਣੇ ਅਸਲ ਉਦੇਸ਼ ਨੂੰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਅਤੇ ਅਰਥਹੀਣ ਵੇਰੀਏਬਲ ਅਸਾਈਨਮੈਂਟਾਂ ਰਾਹੀਂ ਛੁਪਾਉਂਦਾ ਹੈ, ਜੋ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ। ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਇਸ ਗੁੰਝਲਦਾਰ ਪਰਤ ਨੂੰ ਬਣਾਉਣ ਲਈ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਨਕਲੀ ਬੁੱਧੀ ਦੇ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਨਾਲ ਇਸਦੀ ਸੂਝ-ਬੂਝ ਵਧਦੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਮਾਲਵੇਅਰ ਨੂੰ ਸੰਚਾਲਨ ਇਕਸਾਰਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

ਸਿਸਟਮ ਕੈਮੋਫਲੇਜ ਰਾਹੀਂ ਸਟੀਲਥ

ਡੀਪਲੋਡ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਸਟੈਂਡਰਡ ਵਿੰਡੋਜ਼ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਸਹਿਜੇ ਹੀ ਮਿਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਪੇਲੋਡ LockAppHost.exe ਨਾਮਕ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਅੰਦਰ ਲੁਕਿਆ ਹੋਇਆ ਹੈ, ਜੋ ਕਿ ਵਿੰਡੋਜ਼ ਲੌਕ ਸਕ੍ਰੀਨ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆ ਹੈ। ਇਸਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਹੋਰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ, ਮਾਲਵੇਅਰ PowerShell ਕਮਾਂਡ ਇਤਿਹਾਸ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੰਦਾ ਹੈ ਅਤੇ ਸਟੈਂਡਰਡ PowerShell ਕਮਾਂਡਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਮੂਲ Windows ਕੋਰ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਬੁਲਾਉਂਦਾ ਹੈ। ਇਹ ਤਕਨੀਕ ਇਸਨੂੰ PowerShell ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰਨ ਵਾਲੇ ਨਿਗਰਾਨੀ ਪ੍ਰਣਾਲੀਆਂ ਤੋਂ ਬਚਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਫਾਈਲ ਰਹਿਤ ਤਕਨੀਕਾਂ ਅਤੇ ਗਤੀਸ਼ੀਲ ਪੇਲੋਡ ਜਨਰੇਸ਼ਨ

ਖੋਜ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਨ ਲਈ, ਡੀਪਲੋਡ ਡਿਸਕ 'ਤੇ ਇਕਸਾਰ ਕਲਾਕ੍ਰਿਤੀਆਂ ਛੱਡਣ ਤੋਂ ਬਚਦਾ ਹੈ। ਇਹ ਪਾਵਰਸ਼ੈਲ ਦੀ ਐਡ-ਟਾਈਪ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਇੱਕ ਸੈਕੰਡਰੀ ਕੰਪੋਨੈਂਟ ਤਿਆਰ ਕਰਦਾ ਹੈ, ਉਪਭੋਗਤਾ ਦੀ ਟੈਂਪ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਇੱਕ ਅਸਥਾਈ DLL ਫਾਈਲ ਵਿੱਚ C# ਕੋਡ ਨੂੰ ਕੰਪਾਇਲ ਕਰਦਾ ਹੈ। ਹਰੇਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਇੱਕ ਵਿਲੱਖਣ ਨਾਮ ਵਾਲੀ ਫਾਈਲ ਪੈਦਾ ਕਰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਫਾਈਲ-ਅਧਾਰਤ ਖੋਜ ਵਿਧੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ ਜੋ ਜਾਣੇ-ਪਛਾਣੇ ਦਸਤਖਤਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।

ਗੁਪਤ ਫਾਂਸੀ ਲਈ ਐਡਵਾਂਸਡ ਇੰਜੈਕਸ਼ਨ

ਇੱਕ ਮੁੱਖ ਚੋਰੀ ਰਣਨੀਤੀ ਵਿੱਚ ਅਸਿੰਕ੍ਰੋਨਸ ਪ੍ਰਕਿਰਿਆ ਕਾਲ (APC) ਇੰਜੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਮਾਲਵੇਅਰ ਇੱਕ ਮੁਅੱਤਲ ਸਥਿਤੀ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਸਿੱਧੇ ਆਪਣੀ ਮੈਮੋਰੀ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਮੁੜ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਧੀ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਖਤਰਨਾਕ ਪੇਲੋਡ ਇੱਕ ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਦਰ ਡਿਸਕ 'ਤੇ ਡੀਕੋਡ ਕੀਤੇ ਸੰਸਕਰਣ ਨੂੰ ਲਿਖੇ ਬਿਨਾਂ ਚੱਲਦਾ ਹੈ, ਇਸਦੇ ਫੋਰੈਂਸਿਕ ਫੁੱਟਪ੍ਰਿੰਟ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਘਟਾਉਂਦਾ ਹੈ।

ਨਿਰੰਤਰ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਵਿਧੀਆਂ

ਡੀਪਲੋਡ ਨੂੰ ਲਾਗੂ ਹੋਣ ਤੋਂ ਤੁਰੰਤ ਬਾਅਦ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੋਂ ਸਿੱਧੇ ਸਟੋਰ ਕੀਤੇ ਬ੍ਰਾਊਜ਼ਰ ਪਾਸਵਰਡਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨਾ
• ਇੱਕ ਖਤਰਨਾਕ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਦੀ ਤੈਨਾਤੀ ਜੋ ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਦੌਰਾਨ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਦਾ ਹੈ ਅਤੇ ਸੈਸ਼ਨਾਂ ਵਿੱਚ ਉਦੋਂ ਤੱਕ ਬਣਿਆ ਰਹਿੰਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਹੱਥੀਂ ਹਟਾਇਆ ਨਹੀਂ ਜਾਂਦਾ।

ਹਟਾਉਣਯੋਗ ਮੀਡੀਆ ਰਾਹੀਂ ਪਾਸੇ ਵੱਲ ਫੈਲਣਾ

ਮਾਲਵੇਅਰ ਵਿੱਚ ਪ੍ਰਸਾਰ ਤਕਨੀਕਾਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਹਟਾਉਣਯੋਗ ਸਟੋਰੇਜ ਡਿਵਾਈਸਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। USB ਡਰਾਈਵਾਂ ਜਾਂ ਸਮਾਨ ਮੀਡੀਆ ਦਾ ਪਤਾ ਲਗਾਉਣ 'ਤੇ, ਇਹ ਜਾਇਜ਼ ਇੰਸਟਾਲਰਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ਖਤਰਨਾਕ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲਾਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਭਰੋਸੇਯੋਗ ਦਿਖਾਈ ਦੇਣ ਲਈ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਨਾਲ ਗੱਲਬਾਤ ਅਤੇ ਹੋਰ ਲਾਗ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ।

WMI ਦੁਰਵਿਵਹਾਰ ਦੁਆਰਾ ਚੁੱਪ ਪੁਨਰ ਸੰਕਰਮਣ

ਡੀਪਲੋਡ ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ (WMI) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਵੈਂਟ ਸਬਸਕ੍ਰਿਪਸ਼ਨ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਤਿੰਨ ਦਿਨਾਂ ਦੀ ਦੇਰੀ ਤੋਂ ਬਾਅਦ ਦੁਬਾਰਾ ਇਨਫੈਕਸ਼ਨ ਨੂੰ ਟਰਿੱਗਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਲਈ ਕਿਸੇ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਜਾਂ ਹਮਲਾਵਰ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ। ਇਹ ਤਕਨੀਕ ਉਮੀਦ ਕੀਤੇ ਮਾਤਾ-ਪਿਤਾ-ਬੱਚੇ ਪ੍ਰਕਿਰਿਆ ਸਬੰਧਾਂ ਨੂੰ ਤੋੜ ਕੇ ਰਵਾਇਤੀ ਖੋਜ ਮਾਡਲਾਂ ਨੂੰ ਵੀ ਵਿਗਾੜਦੀ ਹੈ।

ਰਣਨੀਤਕ ਉਦੇਸ਼: ਪੂਰੀ ਕਿਲ ਚੇਨ ਕਵਰੇਜ

ਡੀਪਲੋਡ ਦਾ ਸਮੁੱਚਾ ਡਿਜ਼ਾਈਨ ਇੱਕ ਬਹੁ-ਕਾਰਜਸ਼ੀਲ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਪੂਰੀ ਸਾਈਬਰ ਕਿੱਲ ਚੇਨ ਵਿੱਚ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਸਦੀ ਸੰਚਾਲਨ ਰਣਨੀਤੀ ਇਸ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ:

• ਖੋਜ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਡਿਸਕ-ਅਧਾਰਿਤ ਕਲਾਕ੍ਰਿਤੀਆਂ ਤੋਂ ਬਚਣਾ
• ਜਾਇਜ਼ Windows ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੇ ਅੰਦਰ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੂੰ ਮਿਲਾਉਣਾ
• ਆਪਣੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਨੂੰ ਵਧਾਉਣ ਲਈ ਸਿਸਟਮਾਂ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਪ੍ਰਸਾਰਿਤ ਕਰਨਾ

ਸਕੇਲੇਬਲ ਖ਼ਤਰੇ ਦੇ ਢਾਂਚੇ ਦੇ ਸੂਚਕ

ਡੀਪਲੋਡ ਨਾਲ ਜੁੜੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ ਇੱਕ ਸਾਂਝੇ ਜਾਂ ਸੇਵਾ-ਅਧਾਰਤ ਤੈਨਾਤੀ ਮਾਡਲ ਦੀ ਸੰਭਾਵਨਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ। ਜਦੋਂ ਕਿ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਮਾਲਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ (MaaS) ਪੇਸ਼ਕਸ਼ਾਂ ਨਾਲ ਇਕਸਾਰ ਹਨ, ਇਸ ਸਮੇਂ ਇਸ ਵਰਗੀਕਰਨ ਦੀ ਨਿਸ਼ਚਤ ਤੌਰ 'ਤੇ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਸਬੂਤ ਨਹੀਂ ਹਨ।