ਕੁਇਰਕੀਲੋਡਰ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ QuirkyLoader ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਦਾ ਨਵੰਬਰ 2024 ਤੋਂ ਸਪੈਮ ਈਮੇਲ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਲਾਭ ਉਠਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਸਦੀ ਮੁੱਖ ਭੂਮਿਕਾ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs) ਸਮੇਤ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਖਤਰਨਾਕ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਮਾਲਵੇਅਰ ਦਾ ਵਧਦਾ ਹੋਇਆ ਭੰਡਾਰ
QuirkyLoader ਨੂੰ ਕਈ ਹਾਈ-ਪ੍ਰੋਫਾਈਲ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਵੰਡ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਏਜੰਟ ਟੇਸਲਾ
- ਅਸਿੰਕਰੇਟ
- ਫਾਰਮਬੁੱਕ
- ਮਾਸਲੌਗਰ
- ਰੇਮਕੋਸ ਰੈਟ
- ਰਾਡਾਮੈਂਥਿਸ ਸਟੀਲਰ
- ਸੱਪ ਕੀਲੌਗਰ
ਇਹ ਵਿਆਪਕ ਟੂਲਕਿੱਟ ਲੋਡਰ ਦੀ ਅਨੁਕੂਲਤਾ ਅਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਦੀ ਵਿਭਿੰਨ ਸਾਈਬਰ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਸਪੈਮ ਈਮੇਲਾਂ ਰਾਹੀਂ ਧੋਖੇਬਾਜ਼ ਡਿਲੀਵਰੀ
ਹਮਲਾਵਰ ਖਤਰਨਾਕ ਸਪੈਮ ਪਹੁੰਚਾਉਣ ਲਈ ਜਾਇਜ਼ ਈਮੇਲ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਅਤੇ ਇੱਕ ਸਵੈ-ਹੋਸਟਡ ਈਮੇਲ ਸਰਵਰ ਦੋਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰ ਰਹੇ ਹਨ। ਹਰੇਕ ਈਮੇਲ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਤਿੰਨ ਮਹੱਤਵਪੂਰਨ ਭਾਗਾਂ ਵਾਲੀ ਇੱਕ ਆਰਕਾਈਵ ਫਾਈਲ ਹੁੰਦੀ ਹੈ:
- ਇੱਕ ਖਤਰਨਾਕ DLL
- ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ
- ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ
DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਰਾਹੀਂ, ਹਮਲਾਵਰ ਇਸ ਤੱਥ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ ਕਿ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਚਲਾਉਣ ਨਾਲ ਵੀ ਖਤਰਨਾਕ DLL ਚਾਲੂ ਹੁੰਦਾ ਹੈ। ਇਹ DLL ਫਿਰ ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਅੰਤਿਮ ਪੇਲੋਡ ਨੂੰ ਆਪਣੀ ਟਾਰਗੇਟ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
ਸ਼ੋਸ਼ਣ ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ
ਇੰਜੈਕਸ਼ਨ ਵਿਧੀ ਵਿੱਚ ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜਿੱਥੇ ਮਾਲਵੇਅਰ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆ ਦੇ ਕੋਡ ਨੂੰ ਆਪਣੇ ਨਾਲ ਬਦਲ ਦਿੰਦਾ ਹੈ। QuirkyLoader ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ, ਇੰਜੈਕਸ਼ਨ ਲਈ ਪਸੰਦੀਦਾ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਐਡਇਨਪ੍ਰੋਸੈਸ32.exe
- ਇੰਸਟਾਲ ਯੂਟਿਲ.ਐਕਸ.ਈ.
- aspnet_wp.exe
ਇਹ ਤਰੀਕਾ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ ਗਤੀਵਿਧੀ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਬਹੁਤ ਜ਼ਿਆਦਾ ਚੁਣੌਤੀਪੂਰਨ ਹੋ ਜਾਂਦੀ ਹੈ।
ਤਾਈਵਾਨ ਅਤੇ ਮੈਕਸੀਕੋ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਹਮਲੇ
QuirkyLoader ਹੁਣ ਤੱਕ ਛੋਟੇ, ਕੇਂਦ੍ਰਿਤ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਜੁਲਾਈ 2025 ਵਿੱਚ ਦੋ ਮਹੱਤਵਪੂਰਨ ਲਹਿਰਾਂ ਦਰਜ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ:
ਤਾਈਵਾਨ ਮੁਹਿੰਮ : ਖਾਸ ਤੌਰ 'ਤੇ ਨੁਸੌਫਟ ਤਾਈਵਾਨ, ਇੱਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਨੈੱਟਵਰਕ ਸੁਰੱਖਿਆ ਕੰਪਨੀ, ਦੇ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਇਸ ਕਾਰਵਾਈ ਦਾ ਉਦੇਸ਼ ਸਨੇਕ ਕੀਲੌਗਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਸੀ, ਜੋ ਕਿ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, ਕੀਸਟ੍ਰੋਕਸ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ।
ਮੈਕਸੀਕੋ ਮੁਹਿੰਮ : ਇਹ ਕੁਦਰਤ ਵਿੱਚ ਵਧੇਰੇ ਅੰਨ੍ਹੇਵਾਹ ਜਾਪਦਾ ਸੀ, ਬਿਨਾਂ ਕਿਸੇ ਸਪੱਸ਼ਟ ਨਿਸ਼ਾਨਾ ਪੈਟਰਨ ਦੇ Remcos RAT ਅਤੇ AsyncRAT ਨੂੰ ਵੰਡਦਾ ਸੀ।
ਲੋਡਰ ਦੀਆਂ ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ
ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਐਕਟਰ .NET ਭਾਸ਼ਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ DLL ਲੋਡਰ ਮੋਡੀਊਲ ਨੂੰ ਲਗਾਤਾਰ ਵਿਕਸਤ ਕਰਦਾ ਹੈ। ਲਚਕਤਾ ਅਤੇ ਗੁੰਝਲਦਾਰਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਲੋਡਰ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਹੀ (AOT) ਸੰਕਲਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੰਪਾਇਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ C ਜਾਂ C++ ਵਿੱਚ ਬਣਾਏ ਗਏ ਬਾਈਨਰੀ ਵਰਗੇ ਬਾਈਨਰੀ ਪੈਦਾ ਹੁੰਦੇ ਹਨ। ਇਹ ਡਿਫੈਂਡਰਾਂ ਲਈ ਮਾਲਵੇਅਰ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਖੋਜ ਕਰਨਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦਾ ਹੈ।
ਅੰਤਿਮ ਵਿਚਾਰ
QuirkyLoader ਇਸ ਗੱਲ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਉਦਾਹਰਣ ਹੈ ਕਿ ਕਿਵੇਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਚੋਰੀ ਅਤੇ ਕੁਸ਼ਲਤਾ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਲਈ ਆਪਣੇ ਡਿਲੀਵਰੀ ਤਰੀਕਿਆਂ ਨੂੰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ। DLL ਸਾਈਡ-ਲੋਡਿੰਗ, ਪ੍ਰੋਸੈਸ ਹੋਲੋਇੰਗ, ਅਤੇ ਟਾਰਗੇਟਡ ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਨੂੰ ਜੋੜ ਕੇ, ਹਮਲਾਵਰ ਨਾ ਸਿਰਫ਼ ਬਚਾਅ ਪੱਖ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਰਹੇ ਹਨ, ਸਗੋਂ ਪ੍ਰਭਾਵ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਲਈ ਆਪਣੀਆਂ ਮੁਹਿੰਮਾਂ ਨੂੰ ਵੀ ਤਿਆਰ ਕਰ ਰਹੇ ਹਨ। ਸੰਗਠਨਾਂ ਨੂੰ ਸ਼ੱਕੀ ਈਮੇਲ ਅਟੈਚਮੈਂਟਾਂ ਪ੍ਰਤੀ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਅਜਿਹੇ ਖਤਰਿਆਂ ਦੇ ਸੰਪਰਕ ਨੂੰ ਘਟਾਉਣ ਲਈ ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਬਚਾਅ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
