Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë Fushata e malware-it me ngarkesë të dyfishtë

Fushata e malware-it me ngarkesë të dyfishtë

Nga MezoMjetet e administrimit në distancë, Adware
Përkthe në:

Një fushatë e zbuluar rishtazi kundër malware-ve po tërheq vëmendje të konsiderueshme brenda komunitetit të sigurisë kibernetike për shkak të aftësisë së saj për të vendosur dy kërcënime të dallueshme njëkohësisht. Një ngarkues i vetëm i paqartë përdoret për të dërguar si Gh0st RAT ashtu edhe CloverPlus në të njëjtin sistem të kompromentuar.

Ky kombinim është njëkohësisht i pazakontë dhe shumë strategjik. Gh0st RAT mundëson kontroll të plotë në distancë mbi makinën e infektuar, ndërsa CloverPlus përqendrohet në manipulimin e aktivitetit të shfletuesit, injektimin e komponentëve të reklamave dhe gjenerimin e të ardhurave përmes pop-up-eve ndërhyrëse. Vendosja e dyfishtë u lejon aktorëve kërcënues të ruajnë akses të vazhdueshëm të paautorizuar, ndërsa fitojnë para nga infeksioni në kohë reale.

Kjo fushatë nxjerr në pah një trend në rritje drejt ofrimit të ngarkesave të shumëfishta, ku sulmuesit maksimizojnë efikasitetin operacional dhe kthimin financiar nga një kompromis i vetëm.

Taktikat e errësirës: Fshehja e ngarkesës

Ngarkuesi në thelb të kësaj fushate është projektuar për të vepruar fshehurazi. Ai integron dy ngarkesa të enkriptuara brenda seksionit të burimeve të tij, duke përdorur teknika të errësimit për të shmangur mekanizmat tradicionalë të zbulimit.

Ekzekutimi fillon me modulin e adware-it CloverPlus, i identifikuar si AdWare.Win32.CloverPlus dhe i shoqëruar me një skedar ekzekutues të quajtur wiseman.exe. Ky komponent modifikon cilësimet e nisjes së shfletuesit dhe injekton reklama të vazhdueshme që shfaqen përsëri.

Pas kësaj, ngarkuesi vlerëson rrugën e ekzekutimit të tij. Nëse nuk po vepron nga direktoria %temp% e sistemit, ai krijon një kopje të vetes atje përpara se të vazhdojë. Faza tjetër përfshin deshifrimin e modulit të klientit Gh0st RAT, i cili është gjithashtu i fshehur si një burim i enkriptuar brenda binarit të malware-it.

Pasi deshifrohet, programi keqdashës i cakton një emër të rastësishëm skedari ngarkesës dhe e ruan atë në një dosje me emër të rastësishëm të vendosur në rrënjën e diskut C:\, duke e komplikuar më tej zbulimin dhe analizën.

Jetesa me Tokën: Mjete të Besueshme, Qëllimi i Keq

Për të ekzekutuar ngarkesën e deshifruar, programi keqdashës përdor programin legjitim të Windows-it rundll32.exe. Kjo qasje mundëson ekzekutimin e kodit keqdashës nën maskën e një procesi të besuar të sistemit, duke zvogëluar ndjeshëm mundësinë e aktivizimit të mbrojtjeve të sigurisë.

Pasi aktivizohet, Gh0st RAT fillon profilizimin e sistemit të kompromentuar duke mbledhur identifikues unikë si adresa MAC dhe numri serial i hard disku. Këto detaje përdoren për të regjistruar viktimën brenda infrastrukturës së komandës dhe kontrollit të sulmuesit, duke siguruar gjurmim dhe menaxhim të saktë të hosteve të infektuar.

Mekanizmat e Qëndrueshmërisë: Sigurimi i Qasjes Afatgjatë

Mbajtja e aksesit pas rinisjes së sistemit është një objektiv kryesor i kësaj fushate. Gh0st RAT arrin qëndrueshmëri përmes teknikave të shumta të ngulitura thellë brenda sistemit operativ:

Modifikimi i çelësit të regjistrit Run të Windows për të siguruar ekzekutimin automatik gjatë fillimit
Regjistrimi i një DLL-je keqdashëse brenda shtegut të shërbimit të Qasjes në Distancë nën SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Këto metoda i japin malware-it privilegje në nivelin SYSTEM sa herë që niset shërbimi i shoqëruar, duke eliminuar nevojën për ndërveprim të mëtejshëm të përdoruesit dhe duke përforcuar kontrollin afatgjatë.

Zbulimi dhe Mbrojtja: Treguesit e Kompromisit

Ndikimi i kësaj fushate është i konsiderueshëm si për individët ashtu edhe për organizatat. Ndërsa komponenti i adware prish funksionalitetin e shfletuesit dhe rrit ekspozimin ndaj reklamave dashakeqe, komponenti RAT mundëson vjedhjen e të dhënave, regjistrimin e shtypjes së tastierës, anashkalimin e sigurisë dhe aksesin e privilegjuar të vazhdueshëm.

Ekipet e sigurisë duhet të mbeten vigjilente dhe të monitorojnë për treguesit e mëposhtëm të kompromentimit:

  • Ekzekutimi i rundll32.exe që ngarkon DLL ose zgjerime jo standarde të skedarëve nga drejtori të pazakonta ose të dyshimta
  • Aktiviteti i procesit që buron nga dosja %temp%
  • Modifikime të paautorizuara në çelësat Run të regjistrit ose konfigurimet e shërbimit RemoteAccess
  • Përdorimi i vonesave të bazuara në ping për të shmangur zbulimin e sandbox-it
  • Modele jonormale të trafikut DNS dhe ndryshime të papritura në skedarin e hosteve të sistemit

Monitorimi proaktiv dhe reagimi i shpejtë ndaj këtyre sinjaleve janë thelbësore për të zbutur rreziqet që paraqet kjo fushatë e sofistikuar e programeve keqdashëse me kërcënim të dyfishtë.

Në trend

Konfirmo mashtrimin me email të përditësimit të ri...

Fishing, Spam
Emailet e papritura që kërkojnë veprime urgjente duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si njoftime legjitime për të shfrytëzuar besimin dhe për të shkaktuar panik. Është thelbësore të pranohet se mashtrimet si emailet 'Konfirmo Përditësimin e Ri të Sigurisë së Privatësisë' nuk shoqërohen me asnjë kompani, organizatë apo entitet...

Më e shikuara

Po ngarkohet...