DRILLAPP Backdoor
Analistët e sigurisë kibernetike kanë identifikuar një fushatë të re kërcënimesh që synon organizatat ukrainase, me tregues që sugjerojnë përfshirjen e aktorëve të lidhur me Rusinë. Aktiviteti, i vërejtur për herë të parë në shkurt 2026, tregon mbivendosje teknike me një operacion të mëparshëm që i atribuohet grupit të njohur si Laundry Bear (i gjurmuar gjithashtu si UAC-0190 ose Void Blizzard). Ajo fushatë e mëparshme synonte forcat mbrojtëse të Ukrainës dhe vendosi një familje programesh keqdashëse të quajtur PLUGGYAPE.
Operacioni më i fundit prezanton një derë të pasme të bazuar në JavaScript të ekzekutuar përmes shfletuesit Microsoft Edge. Malware, i referuar nga studiuesit si DRILLAPP, është projektuar për të shfrytëzuar aftësitë e shfletuesit për të ngarkuar dhe shkarkuar skedarë, për të aksesuar mikrofonin dhe për të kapur imazhe nga kamera e internetit e viktimës.
Sulmuesit mbështeten në taktikat e inxhinierisë sociale për të shpërndarë komponentët keqdashës. Karremat që i referohen çështjeve ligjore ose kauzave bamirëse përdoren për të inkurajuar viktimat të hapin skedarë keqdashës dhe të fillojnë zinxhirin e infeksionit.
Tabela e Përmbajtjes
Karremat mashtruese dhe metoda fillestare e infeksionit
Fushata është vërejtur në dy variante të dallueshme. Versioni i parë, i zbuluar në fillim të shkurtit 2026, përdor një skedar shkurtoreje të Windows (LNK) si mekanizëm fillestar të dorëzimit. Kur ekzekutohet, shkurtorja krijon një skedar Aplikacioni HTML (HTA) brenda direktorisë së përkohshme të sistemit. Ky skedar HTA më pas merr një skript të largët të vendosur në shërbimin legjitim të ndarjes së ngjitjes Pastefy.
Për të ruajtur qëndrueshmërinë në sistemet e kompromentuara, sulmuesit kopjojnë skedarin keqdashës LNK në dosjen Windows Startup, duke u siguruar që ai të ekzekutohet automatikisht pas çdo rinisjeje të sistemit. Sapo fillon zinxhiri i infeksionit, viktimave u paraqiten URL që përmbajnë tema mashtruese, duke përfshirë udhëzime që lidhen me instalimin e Starlink ose referenca për organizatën bamirëse ukrainase Come Back Alive Foundation.
Skedari HTA në fund të fundit niset përmes shfletuesit Microsoft Edge që vepron në modalitetin pa kokë, duke i lejuar shfletuesit të ekzekutojë skriptin e ngatërruar të marrë nga Pastefy pa shfaqur një dritare standarde të shfletuesit.
Shfrytëzimi i parametrave të shfletuesit për akses të fshehtë
Për të maksimizuar aftësitë e tij, procesi keqdashës hap shfletuesin Edge me parametra të shumtë që dobësojnë mbrojtjet e integruara të sigurisë dhe mundësojnë qasje të paautorizuar në burimet e ndjeshme të sistemit.
Këto parametra i lejojnë instancës së shfletuesit të anashkalojë mbrojtjet tipike dhe të kryejë veprime që normalisht kufizohen nga modelet e sigurisë së shfletuesit. Konfigurimi në mënyrë efektive i mundëson programit keqdashës të hyjë në skedarët lokalë, të kapë transmetimet audio dhe video dhe të regjistrojë aktivitetin e ekranit pa kërkuar ndonjë ndërveprim nga viktima.
Parametrat kryesorë të shfletuesit të përdorur në sulm përfshijnë:
--pa-sandbox
--disable-web-security
--allow-file-access-from-files
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Duke abuzuar me këto cilësime, shfletuesi bëhet një komponent funksional i infrastrukturës së programeve keqdashëse dhe jo thjesht një platformë shpërndarjeje.
Aftësitë e Prapavijës dhe Mbikëqyrjes së Bazuar në Shfletues
Objekti DRILLAPP funksionon si një derë e pasme e lehtë, por e gjithanshme. Pasi të aktivizohet, ai u mundëson sulmuesve të bashkëveprojnë me sistemin e infektuar përmes aftësive të aktivizuara nga shfletuesi, duke e transformuar në mënyrë efektive shfletuesin në një mjet mbikëqyrjeje në distancë.
Malware është i aftë të kryejë disa operacione që lejojnë monitorim të gjerë dhe mbledhje të të dhënave nga pajisjet e kompromentuara.
Aftësitë kryesore përfshijnë:
- Ngarkimi dhe shkarkimi i skedarëve nga sistemi lokal
- Kapja e audios përmes mikrofonit të pajisjes
- Regjistrimi i videos përmes kamerës në internet
- Marrja e pamjeve të ekranit të ekranit të sistemit
- Gjenerimi i një gjurmë gishtash unike të pajisjes duke përdorur teknikat e gjurmëve të gishtave në kanavacë
Gjatë ekzekutimit të tij të parë, malware gjeneron një gjurmë gishtash të pajisjes dhe përdor Pastefy si një 'zgjidhës dead-drop' për të rikuperuar një adresë WebSocket të përdorur për komunikimet e komandës dhe kontrollit. Kjo arkitekturë u lejon sulmuesve të ridrejtojnë në mënyrë dinamike sistemet e infektuara në infrastrukturën e tyre operative.
Dera e pasme transmeton gjithashtu gjurmën e gishtit të pajisjes së bashku me vendndodhjen gjeografike të nxjerrë nga viktima. Vendndodhja përcaktohet nga zona kohore e sistemit dhe kontrollohet me një listë të paracaktuar që përfshin Mbretërinë e Bashkuar, Rusinë, Gjermaninë, Francën, Kinën, Japoninë, Shtetet e Bashkuara, Brazilin, Indinë, Ukrainën, Kanadanë, Australinë, Italinë, Spanjën dhe Poloninë. Nëse zona kohore nuk përputhet me asnjë nga këto rajone, programi keqdashës e identifikon sistemin si të vendosur në Shtetet e Bashkuara.
Teknikat në zhvillim në variantin e dytë të fushatës
Një version i dytë i fushatës u shfaq në fund të shkurtit 2026, duke futur disa modifikime duke ruajtur strukturën e përgjithshme të sulmit. Në vend që të mbështetet në skedarët e shkurtesave LNK, varianti i përditësuar përdor modulet e Panelit të Kontrollit të Windows si mekanizëm fillestar të shpërndarjes.
Komponenti i derës së pasme vetë mori gjithashtu përmirësime funksionale. Këto përmirësime i lejojnë malware-it të kryejë operacione më të thella të sistemit të skedarëve dhe të përmirësojë aftësinë e tij për të nxjerrë të dhëna nga mjediset e infektuara.
Përmirësime të dukshme përfshijnë numërimin rekursiv të skedarëve, ngarkimin në grup të skedarëve dhe mundësinë për të shkarkuar skedarë arbitrarë direkt në sistemin e kompromentuar.
Anashkalimi i kufizimeve të JavaScript me mjetet e korrigjimit të gabimeve të Chromium
Kufizimet standarde të sigurisë së JavaScript zakonisht parandalojnë që kodi i largët të shkarkojë skedarë direkt në sistemin e viktimës. Për të anashkaluar këtë kufizim, sulmuesit përdorin Protokollin Chrome DevTools (CDP), një ndërfaqe të brendshme për debugging që përdoret nga shfletuesit e bazuar në Chromium.
Qasja në CDP mund të bëhet vetëm kur shfletuesi hapet me parametrin --remote-debugging-port të aktivizuar. Duke aktivizuar këtë funksionalitet debugging-u, sulmuesit fitojnë aftësinë për të kontrolluar sjelljen e shfletuesit në mënyrë programore dhe për të anashkaluar kufizimet tipike të klientit, duke mundësuar shkarkime të skedarëve në distancë që përndryshe do të bllokoheshin.
Treguesit e Zhvillimit të Hershëm dhe Infrastruktura Eksperimentale
Provat sugjerojnë se programi keqdashës është ende në zhvillim aktiv. Një variant i hershëm i zbuluar në mënyrë të egër më 28 janar 2026, komunikonte ekskluzivisht me domenin 'gnome.com' në vend që të merrte ngarkesën e tij kryesore nga Pastefy.
Kjo sjellje tregon se aktorët kërcënues mund të jenë ende duke rafinuar si infrastrukturën e tyre ashtu edhe aftësitë operacionale të derës së pasme.
Abuzimi me shfletuesit si një strategji shmangieje në zhvillim
Një nga aspektet më të rëndësishme të fushatës është përdorimi i qëllimshëm i një shfletuesi interneti si mjedisi kryesor i ekzekutimit për derën e pasme. Kjo qasje nxjerr në pah një trend në rritje në të cilin sulmuesit ripërdorin softuer të ligjshëm për të shmangur zbulimin.
Shfletuesit ofrojnë disa përparësi për operacionet keqdashëse. Ato përdoren gjerësisht dhe zakonisht konsiderohen procese të mira, duke zvogëluar mundësinë e dyshimit të menjëhershëm. Përveç kësaj, parametrat e korrigjimit të gabimeve në shfletues mund të zhbllokojnë aftësi të fuqishme që mundësojnë veprime që përndryshe do të kufizoheshin, siç janë shkarkimet e skedarëve në distancë dhe qasja e gjerë në sistem.
Për më tepër, shfletuesit mbajnë leje legjitime për të bashkëvepruar me burime të ndjeshme hardueri, duke përfshirë mikrofonat, kamerat dhe mekanizmat e kapjes së ekranit, gjë që u lejon sulmuesve të kryejnë aktivitete mbikëqyrjeje ndërsa përzihen me sjelljen normale të sistemit.
