கலர்-குருட்டு RAT
சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் பைதான் பேக்கேஜ் இண்டெக்ஸில் (PyPI) பதிவேற்றம் செய்யப்பட்ட அச்சுறுத்தும் பைதான் தொகுப்பை கண்டுபிடித்துள்ளனர், இதில் தீங்கு விளைவிக்கும் தகவல் திருடுபவர் மற்றும் ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) உள்ளது. இந்த தொகுப்புக்கு 'colourfool' என்று பெயரிடப்பட்டது மற்றும் ஒரு பாதுகாப்பு ஆராய்ச்சி குழுவால் அடையாளம் காணப்பட்டது, அவர்கள் தீம்பொருள் அச்சுறுத்தலுக்கு 'கலர்-பிளைண்ட்' என்று பெயரிட்டனர்.
இந்த சம்பவம் ஜனநாயகமயமாக்கப்பட்ட சைபர் கிரைமின் வளர்ந்து வரும் போக்கை எடுத்துக்காட்டுகிறது, அங்கு தவறான எண்ணம் கொண்ட நடிகர்கள் தங்கள் சொந்த நோக்கங்களுக்காக இருக்கும் குறியீட்டை எளிதாக அணுகலாம் மற்றும் மீண்டும் பயன்படுத்த முடியும். ஆன்லைன் குற்றத்தின் ஜனநாயகமயமாக்கல் தீவிரமான அச்சுறுத்தல் நிலப்பரப்புக்கு வழிவகுக்கும் என்று ஆராய்ச்சியாளர்கள் விளக்கினர், ஏனெனில் தாக்குபவர்கள் மற்றவர்களிடமிருந்து பெறப்பட்ட குறியீட்டை மேம்படுத்துவதன் மூலம் தங்கள் தீம்பொருளின் பல மாறுபாடுகளை உருவாக்க முடியும்.
மற்ற சமீபத்திய முரட்டு பைதான் தொகுதிகளைப் போலவே, கலர்-பிளைண்ட் அமைப்பு ஸ்கிரிப்ட்டில் அதன் மோசமான குறியீட்டை மறைக்க ஒரு நுட்பத்தைப் பயன்படுத்துகிறது. அமைப்பு ஸ்கிரிப்ட், முறையான டிஸ்கார்ட் பிளாட்ஃபார்மில் ஹோஸ்ட் செய்யப்பட்ட ZIP காப்பக பேலோடைச் சுட்டிக்காட்டுகிறது. இது மால்வேரை சில பாரம்பரிய பாதுகாப்பு நடவடிக்கைகளின் மூலம் கண்டறிவதைத் தவிர்க்க அனுமதிக்கிறது, மேலும் அதைக் கண்டறிந்து அகற்றுவதை கடினமாக்குகிறது.
கலர்-பிளைண்ட் ரேட் 'பாம்பு' விளையாட்டிற்கான குறியீட்டைக் கொண்டுள்ளது
'எசென்ஷியல்ஸ்' என்ற விஷுவல் பேசிக் (VB) ஸ்கிரிப்டைச் சேர்ப்பதை உள்ளடக்கிய ஒரு நிலைத்தன்மை பொறிமுறையை தீம்பொருள் பயன்படுத்துகிறது. பயனரின் 'ஸ்டார்ட் மெனு'வில் உள்ள 'ஸ்டார்ட் அப்' கோப்புறைக்கு vbs'. உள்நுழைந்ததும், VB ஸ்கிரிப்ட் ஒரு Windows தொகுதி கோப்பைச் செயல்படுத்துகிறது, அது தீம்பொருள் 'python.exe' போன்ற அதே கோப்புறையில் செலுத்துகிறது. இந்தத் தொகுதிக் கோப்பு, பயனர் உள்நுழையும் ஒவ்வொரு முறையும் பைத்தானைப் பயன்படுத்தி தீம்பொருளைத் தொடங்கும், மால்வேர் செயலில் இருப்பதையும் கணினியில் இருப்பதையும் உறுதி செய்கிறது.
தீம்பொருள் ஒரு கோப்பு வெளியேற்ற செயல்பாட்டைக் கொண்டுள்ளது, இது 'பரிமாற்றம்[.]sh' ஐ மேம்படுத்துகிறது, இது அச்சுறுத்தல் நடிகர்கள் மத்தியில் பெருகிய முறையில் பிரபலமான ஒரு அநாமதேய கோப்பு பரிமாற்ற வலைத்தளமாகும். தீம்பொருளில் சமூக பொறியியலுடன் தொடர்புடைய குறியீடு உள்ளது, இது ஒரு பிழை செய்தியை உருவாக்குகிறது, இது தீம்பொருளை நிர்வாகியாக மீண்டும் இயக்க பயனரை வற்புறுத்த முயற்சிக்கிறது. கூடுதலாக, தீம்பொருளானது 'ஸ்னேக்' கேமின் உட்பொதிக்கப்பட்ட பதிப்பைக் கொண்டுள்ளது, இது கிட்ஹப் களஞ்சியத்திலிருந்து குறியீட்டின் நேரடி நகலாகத் தோன்றுகிறது. இருப்பினும், இந்த விளையாட்டு எந்த வெளிப்படையான நோக்கத்திற்காகவும் சேவை செய்யாது மற்றும் செயல்படுத்தப்படும் போது தொடங்காது.
தீம்பொருள் குக்கீகள், கடவுச்சொற்கள் மற்றும் கிரிப்டோகரன்சி வாலட்களை சேகரிப்பதற்கான நூல்களை உள்ளடக்கிய பல துணைச் செயலாக்கங்களைத் தூண்டுகிறது. ரிமோட் கண்ட்ரோலை இயக்க, தீம்பொருள் Flask இணைய பயன்பாட்டைத் தொடங்குகிறது. அச்சுறுத்தல் பின்னர் Cloudflare இன் ரிவர்ஸ் டன்னல் யூட்டிலிட்டியான 'கிளவுட்ஃப்ளேர்டு' மூலம் இணையத்தை அணுகக்கூடியதாக ஆக்குகிறது. இந்த முறையைப் பயன்படுத்துவதன் மூலம், தீம்பொருள் எந்த உள்வரும் ஃபயர்வால் விதிகளையும் புறக்கணித்து, சமரசம் செய்யப்பட்ட கணினியில் ஒரு நிலையான இருப்பை பராமரிக்க முடியும்.
வண்ண-குருட்டு RAT இல் காணப்படும் அச்சுறுத்தும் திறன்களின் விரிவான தொகுப்பு
Colour-BLind RAT மற்றும் அதன் பல்வேறு தீங்கிழைக்கும் செயல்பாடுகளை வலை பயன்பாடு மூலம் கட்டுப்படுத்தலாம். டோக்கன்கள் செயல்பாடு பல பயன்பாடுகளுக்கான உள்நுழைவு டோக்கன்களை எலெக்ட்ரான்.ஐஓ அல்லது குரோமியம் வழியாக நேரடியாக பயன்பாட்டு கட்டமைப்பாகப் பயன்படுத்தும் பல பயன்பாடுகளுக்கான டோக்கன்களை வெளியிடலாம், இதில் டிஸ்கார்ட் அடங்கும். கடவுச்சொற்கள் செயல்பாடு இணைய உலாவிகளில் இருந்து பிரித்தெடுக்கப்பட்ட கடவுச்சொற்களை திரையில் டம்ப் செய்கிறது, அதே நேரத்தில் குக்கீகளின் செயல்பாடு அனைத்து உலாவி குக்கீகளையும் திரையில் டம்ப் செய்கிறது. விசைகள் செயல்பாடு கைப்பற்றப்பட்ட தரவை விசை பதிவு செய்பவர்களுக்கு டம்ப் செய்து திரையில் காண்பிக்கும்.
RAT இன் திறன்களில் பயன்பாடுகள் செயல்பாடும் உள்ளது, இது தற்போது செயலில் உள்ள பயன்பாடுகளின் பட்டியலையும் அவற்றை நிறுத்துவதற்கான பொத்தானையும் வழங்குகிறது. டேட்டா டம்ப் செயல்பாடு அனைத்து கைப்பற்றப்பட்ட தரவையும் C2 URL க்கு அனுப்புகிறது. திரைச் செயல்பாடு பயனரின் டெஸ்க்டாப்பின் ஸ்கிரீன் ஷாட்டைக் காட்டுகிறது மற்றும் விசை அழுத்தங்கள் போன்ற அடிப்படை தொடர்புகளை அனுமதிக்கிறது. அச்சுறுத்தல் IP தகவலைப் பார்த்து வேறு செயல்பாட்டைப் பயன்படுத்தி திரையில் காண்பிக்கலாம். இது கொடுக்கப்பட்ட வலைப்பக்கத்திற்கு உலாவியைத் திறந்து இயக்க முறைமை வழியாக கட்டளைகளை இயக்க முடியும். கிரிப்டோகரன்சி வாலட் தகவலை பாண்டம்/மெட்டாமாஸ்க் செயல்பாடு மூலம் மீறப்பட்ட சாதனத்திலிருந்து அறுவடை செய்யலாம்.
இருப்பினும், கலர்-பிளைண்ட் RAT ஆனது பாதிக்கப்பட்ட கணினிகளில் இன்னும் கூடுதலான செயல்களைச் செய்ய முடியும், அதாவது இணைய கேமரா மூலம் சந்தேகத்திற்கு இடமில்லாத பயனரை உளவு பார்க்க /camera எண்ட்பாயிண்ட்டைப் பயன்படுத்துகிறது. பாதிக்கப்பட்டவரின் கணினியில் உருவாக்கப்பட்ட மறைக்கப்பட்ட டெஸ்க்டாப்பைக் கையாளும் 'hvnc' இல் தொடங்கும் பல்வேறு முனைப்புள்ளிகளும் உள்ளன. /hvncmanager செயல்பாடு இந்த மறைக்கப்பட்ட டெஸ்க்டாப்பில் இணைய உலாவியைத் தொடங்க அனுமதிக்கிறது. மறைக்கப்பட்ட டெஸ்க்டாப்பைத் திறக்க /hvnc செயல்பாடு பயன்படுத்தப்படுகிறது மற்றும் அச்சுறுத்தல் நடிகர்கள் அதனுடன் தொடர்பு கொள்ள அனுமதிக்கிறது. இப்படி மறைக்கப்பட்ட முறையில் இணைய உலாவியைத் திறக்கும் திறனை அச்சுறுத்தும் நடிகர்களால் பாதிக்கப்பட்டவரின் இணையக் கணக்குகளை அணுக அல்லது தொடர்புகொள்ள பயன்படுத்திக்கொள்ளலாம். /hvncitem செயல்பாடானது, URL அளவுருவான 'தொடக்கத்தை' கையாளுவதன் மூலம் மறைக்கப்பட்ட டெஸ்க்டாப்பில் தனிப்பயன் கட்டளைகளை செயல்படுத்த தாக்குபவர்களை செயல்படுத்துகிறது.
