ਵਿਨੋਸ ਰੈਟ ਮਾਲਵੇਅਰ

ਚੀਨੀ ਭਾਸ਼ਾ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਕੇਂਦ੍ਰਿਤ SEO-ਜ਼ਹਿਰੀਲੀ ਮੁਹਿੰਮ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ ਜੋ ਅਸਲ ਸਾਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਪੰਨਿਆਂ ਨੂੰ ਯਕੀਨਨ ਨਕਲੀ ਨਾਲ ਬਦਲਦੀ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਖੋਜ ਦਰਜਾਬੰਦੀ ਅਤੇ ਲਗਭਗ ਇੱਕੋ ਜਿਹੇ ਡੋਮੇਨਾਂ ਰਾਹੀਂ ਖਤਰਨਾਕ ਇੰਸਟਾਲਰਾਂ ਨੂੰ ਧੱਕਿਆ, ਜਿਸ ਨਾਲ ਪੀੜਤਾਂ ਲਈ ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਵਰਗਾ ਦਿਖਾਈ ਦੇਣ ਵਾਲਾ ਪਰ ਅਸਲ ਵਿੱਚ ਰਿਮੋਟ-ਐਕਸੈਸ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਕਰਨਾ ਆਸਾਨ ਹੋ ਗਿਆ।

ਮੁਹਿੰਮ ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ SEO ਪਲੱਗਇਨਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਅਤੇ ਜਾਇਜ਼ ਵਿਕਰੇਤਾਵਾਂ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੇ ਦਿੱਖ ਵਾਲੇ ਡੋਮੇਨਾਂ ਨੂੰ ਰਜਿਸਟਰ ਕਰਕੇ ਖੋਜ ਨਤੀਜਿਆਂ ਵਿੱਚ ਨਕਲੀ ਪੰਨਿਆਂ ਨੂੰ ਵਧਾ ਦਿੱਤਾ। ਉਹ ਲੋਕਾਂ ਨੂੰ ਕਲਿੱਕ ਕਰਨ ਲਈ ਮੂਰਖ ਬਣਾਉਣ ਲਈ ਸੂਖਮ ਅੱਖਰਾਂ ਦੇ ਸਵੈਪ ਅਤੇ ਪ੍ਰਵਾਹਿਤ ਚੀਨੀ ਕਾਪੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਸਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਡਾਊਨਲੋਡ ਪੰਨੇ 'ਤੇ ਪਹੁੰਚ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜ ਵਿੱਚ ਉਮੀਦ ਕੀਤੀ ਗਈ ਐਪਲੀਕੇਸ਼ਨ ਅਤੇ ਇੱਕ ਲੁਕਿਆ ਹੋਇਆ ਖਤਰਨਾਕ ਹਿੱਸਾ ਦੋਵੇਂ ਹੁੰਦੇ ਹਨ। ਇਹ ਮਿਸ਼ਰਣ ਆਮ ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜ ਨੂੰ ਅਸੰਭਵ ਬਣਾਉਂਦਾ ਹੈ।

ਟੀਚੇ ਅਤੇ ਸਮਾਂਰੇਖਾ

ਅਗਸਤ 2025 ਵਿੱਚ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਇਹ ਮੁਹਿੰਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਪ੍ਰਸਿੱਧ ਉਤਪਾਦਕਤਾ ਅਤੇ ਸੰਚਾਰ ਸਾਧਨਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਲੁਭਾਉਂਦੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਖੋਜ ਟੀਚਿਆਂ ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਡੀਪਐਲ ਅਨੁਵਾਦ

ਗੂਗਲ ਕਰੋਮ

ਸਿਗਨਲ

ਟੈਲੀਗ੍ਰਾਮ

ਵਟਸਐਪ

WPS ਦਫ਼ਤਰ

ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਸ਼ਾਮਲ ਹਨ

ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦੇ ਨਤੀਜੇ ਵਜੋਂ Gh0st RAT ਨਾਲ ਸਬੰਧਤ ਰੂਪਾਂ ਦੀ ਤਾਇਨਾਤੀ ਹੋਈ, ਖਾਸ ਤੌਰ 'ਤੇ HiddenGh0st ਅਤੇ Winos (ਜਿਸਨੂੰ ValleyRAT ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ)। Winos ਨੂੰ ਕਈ ਉਪਨਾਮਾਂ - ਸਿਲਵਰ ਫੌਕਸ, ਸਵਿਮਸਨੈਕ, ਦ ਗ੍ਰੇਟ ਥੀਫ ਆਫ ਵੈਲੀ (ਵੈਲੀ ਥੀਫ), UTG-Q-1000, ਅਤੇ ਵੋਇਡ ਅਰਾਚਨੇ - ਦੇ ਤਹਿਤ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਕਲੱਸਟਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਅਤੇ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਘੱਟੋ-ਘੱਟ 2022 ਤੋਂ ਸਰਗਰਮ ਹੈ।

ਡਿਲੀਵਰੀ ਚੇਨ - ਤਕਨੀਕੀ ਖਰਾਬੀ

nice.js ਲੇਬਲ ਵਾਲੀ ਇੱਕ ਛੋਟੀ JavaScript ਫਾਈਲ ਮਲਟੀ-ਸਟੈਪ ਡਿਲੀਵਰੀ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਦੀ ਹੈ। ਸਕ੍ਰਿਪਟ ਵਾਰ-ਵਾਰ JSON ਜਵਾਬ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ: ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਡਾਊਨਲੋਡ ਲਿੰਕ JSON ਨੂੰ ਇੱਕ ਸੈਕੰਡਰੀ ਲਿੰਕ ਵਾਲਾ ਵਾਪਸ ਕਰਦਾ ਹੈ, ਉਹ ਦੂਜਾ ਲਿੰਕ ਇੱਕ ਹੋਰ JSON ਪੇਲੋਡ ਵਾਪਸ ਕਰਦਾ ਹੈ, ਜੋ ਅੰਤ ਵਿੱਚ ਖਤਰਨਾਕ ਇੰਸਟੌਲਰ URL ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ। ਇਹ ਲੇਅਰਡ ਰੀਡਾਇਰੈਕਸ਼ਨ ਦੋਵੇਂ ਅੰਤਿਮ ਪੇਲੋਡ ਸਥਾਨ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਦਾ ਹੈ ਅਤੇ ਸਧਾਰਨ ਖੋਜ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।

ਇੰਸਟਾਲਰ ਦੇ ਅੰਦਰ:

EnumW.dll ਨਾਮਕ ਇੱਕ ਖਤਰਨਾਕ DLL ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਜਾਂਚਾਂ ਦਾ ਇੱਕ ਸੈੱਟ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਦੂਜਾ DLL (vstdlib.dll) ਕੱਢਦਾ ਹੈ। vstdlib.dll ਦਾ ਕੱਢਣਾ ਅਤੇ ਵਿਵਹਾਰ ਮੈਮੋਰੀ ਵਰਤੋਂ ਅਤੇ ਹੌਲੀ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਿੰਗ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਆਟੋਮੇਟਿਡ ਜਾਂ ਮੈਨੂਅਲ ਨਿਰੀਖਣ ਵਿੱਚ ਰੁਕਾਵਟ ਆਉਂਦੀ ਹੈ।

ਦੂਜਾ DLL ਇੱਕ ਖਾਸ ਐਂਟੀਵਾਇਰਸ ਉਤਪਾਦ ਦੀ ਮੌਜੂਦਗੀ ਲਈ ਸਿਸਟਮ ਦੀ ਜਾਂਚ ਕਰਨ ਤੋਂ ਬਾਅਦ ਹੀ ਮੁੱਖ ਪੇਲੋਡ ਨੂੰ ਅਨਪੈਕ ਕਰਦਾ ਹੈ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਉਹ AV ਕੰਪੋਨੈਂਟ ਖੋਜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ TypeLib COM ਹਾਈਜੈਕਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਅੰਤ ਵਿੱਚ insalivation.exe ਨਾਮਕ ਇੱਕ Windows ਬਾਈਨਰੀ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।

ਜੇਕਰ ਐਂਟੀਵਾਇਰਸ ਮੌਜੂਦ ਨਹੀਂ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਉਸੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ।

ਅੰਤਿਮ ਪੇਲੋਡ: SIDELoading AIDE.dll

ਅੰਤਮ ਉਦੇਸ਼ AIDE.dll ਨਾਮਕ ਇੱਕ DLL ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਨਾ ਹੈ। ਇੱਕ ਵਾਰ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ, AIDE.dll ਤਿੰਨ ਮੁੱਖ ਸੰਚਾਲਨ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ:

• ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2): ਹਦਾਇਤਾਂ ਅਤੇ ਡੇਟਾ ਐਕਸਚੇਂਜ ਲਈ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਏਨਕ੍ਰਿਪਟਡ ਸੰਚਾਰ।
• ਦਿਲ ਦੀ ਧੜਕਣ: ਸਿਸਟਮ ਅਤੇ ਪੀੜਤ ਜਾਣਕਾਰੀ ਦਾ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਸੰਗ੍ਰਹਿ, ਜਿਸ ਵਿੱਚ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨਾ ਅਤੇ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੀ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ ਸੂਚੀ ਦੇ ਵਿਰੁੱਧ ਉਹਨਾਂ ਦੀ ਜਾਂਚ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
• ਮਾਨੀਟਰ: ਸਥਿਰਤਾ ਦੀ ਪੁਸ਼ਟੀ, ਉਪਭੋਗਤਾ-ਗਤੀਵਿਧੀ ਟਰੈਕਿੰਗ, ਅਤੇ C2 ਤੇ ਨਿਯਮਤ ਬੀਕਨਿੰਗ।

ਵਾਧੂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਪਲੱਗਇਨ

C2 ਮੋਡੀਊਲ ਵਾਧੂ ਪਲੱਗਇਨ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਕੀਲੌਗਿੰਗ, ਕਲਿੱਪਬੋਰਡ ਕੈਪਚਰ, ਸਕ੍ਰੀਨ ਨਿਗਰਾਨੀ, ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਟੂਲ ਸ਼ਾਮਲ ਹਨ - ਖਾਸ ਤੌਰ 'ਤੇ ਈਥਰਿਅਮ ਅਤੇ ਟੀਥਰ ਸੰਪਤੀਆਂ ਰੱਖਣ ਵਾਲੇ ਵਾਲਿਟ। ਇਹਨਾਂ ਘਟਨਾਵਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਕਈ ਪਲੱਗਇਨ ਵਿਨੋਸ ਫਰੇਮਵਰਕ ਤੋਂ ਦੁਬਾਰਾ ਵਰਤੇ ਗਏ ਹਿੱਸੇ ਜਾਪਦੇ ਹਨ ਅਤੇ ਨਿਰੰਤਰ ਸਕ੍ਰੀਨ ਨਿਗਰਾਨੀ ਦੇ ਸਮਰੱਥ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਨੂੰ ਪਛਾਣਨਾ ਔਖਾ ਕਿਉਂ ਹੈ?

ਕਿਉਂਕਿ ਇੰਸਟਾਲਰ ਖਤਰਨਾਕ ਪੇਲੋਡ ਦੇ ਨਾਲ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਬੰਡਲ ਕਰਦਾ ਹੈ, ਇੱਕ ਭਰੋਸੇਯੋਗ ਪ੍ਰੋਗਰਾਮ ਵਰਗਾ ਦਿਸਣ ਵਾਲਾ ਡਾਊਨਲੋਡ ਕਰਨ ਵਾਲਾ ਉਪਭੋਗਤਾ ਕਦੇ ਵੀ ਕੁਝ ਗਲਤ ਨਹੀਂ ਦੇਖ ਸਕਦਾ। ਹਮਲਾਵਰਾਂ ਨੇ ਉੱਚ-ਦਰਜੇ ਦੇ ਖੋਜ ਨਤੀਜਿਆਂ ਨੂੰ ਵੀ ਹਥਿਆਰਬੰਦ ਕਰ ਲਿਆ, ਜਿਸ ਨਾਲ ਇਹ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ ਕਿ ਨੇਕ ਇਰਾਦੇ ਵਾਲੇ ਉਪਭੋਗਤਾ ਸਮਝੌਤਾ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨਗੇ।

ਰੱਖਿਆ ਸਿਫ਼ਾਰਸ਼ਾਂ

• ਸਾਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਹਮੇਸ਼ਾ ਡੋਮੇਨ ਨਾਮਾਂ ਦੀ ਧਿਆਨ ਨਾਲ ਪੁਸ਼ਟੀ ਕਰੋ; ਸੂਖਮ ਅੱਖਰ ਬਦਲਾਂ ਅਤੇ ਬੇਮੇਲ URL ਦੀ ਭਾਲ ਕਰੋ।
• ਖੋਜ ਨਤੀਜਿਆਂ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਬਜਾਏ ਅਧਿਕਾਰਤ ਵਿਕਰੇਤਾ ਸਾਈਟਾਂ ਜਾਂ ਪ੍ਰਮਾਣਿਤ ਐਪ ਸਟੋਰਾਂ ਨੂੰ ਤਰਜੀਹ ਦਿਓ।
• ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਦੀ ਵਰਤੋਂ ਕਰੋ ਜੋ ਇੰਸਟਾਲਰ ਵਿਵਹਾਰ (ਸਿਰਫ ਫਾਈਲ ਦਸਤਖਤ ਨਹੀਂ) ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ ਅਤੇ DLL ਸਾਈਡਲੋਡਿੰਗ ਅਤੇ COM ਹਾਈਜੈਕਿੰਗ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ।

ਸਿੱਟਾ

ਇਹ ਮੁਹਿੰਮ ਦਿਖਾਉਂਦੀ ਹੈ ਕਿ ਹਮਲਾਵਰ ਕਿਵੇਂ SEO ਹੇਰਾਫੇਰੀ, ਦਿੱਖ ਵਾਲੇ ਡੋਮੇਨ, ਮਲਟੀ-ਸਟੇਜ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਅਤੇ ਸੂਝਵਾਨ DLL-ਅਧਾਰਤ ਚੋਰੀ ਨੂੰ ਜੋੜਦੇ ਹਨ ਤਾਂ ਜੋ Gh0st-RAT-ਪਰਿਵਾਰਕ ਮਾਲਵੇਅਰ ਨੂੰ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਵੱਲ ਧੱਕਿਆ ਜਾ ਸਕੇ। ਜਾਇਜ਼ ਬਾਈਨਰੀ ਅਤੇ ਲੁਕਵੇਂ ਪੇਲੋਡ ਦਾ ਮਿਸ਼ਰਣ ਚੌਕਸੀ ਨੂੰ ਜ਼ਰੂਰੀ ਬਣਾਉਂਦਾ ਹੈ: ਸਰੋਤਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ, ਡੋਮੇਨਾਂ ਦੀ ਜਾਂਚ ਕਰੋ, ਅਤੇ ਰਨਟਾਈਮ ਵਿਵਹਾਰ ਦੇ ਨਾਲ-ਨਾਲ ਫਾਈਲ ਪ੍ਰਤਿਸ਼ਠਾ ਨੂੰ ਵੇਖਣ ਵਾਲੇ ਬਚਾਅ ਦੀ ਵਰਤੋਂ ਕਰੋ।