கவுண்ட்லோடர் தீம்பொருள்
சைபர் பாதுகாப்பு ஆய்வாளர்கள், திருட்டு மென்பொருளை வழங்கும் வலைத்தளங்களை தவறாகப் பயன்படுத்தி, கவுண்ட்லோடர் எனப்படும் ரகசிய, மாடுலர் லோடரின் புதுப்பிக்கப்பட்ட மாறுபாட்டைப் பரப்பும் ஒரு புதிய தீம்பொருள் விநியோக பிரச்சாரத்தை கண்டுபிடித்துள்ளனர். கிராக் செய்யப்பட்ட பயன்பாடுகளைத் தேடும் பயனர்களை வேட்டையாடுவதன் மூலம், ஆபரேட்டர்கள் திருட்டுத்தனமான அணுகல், பாதுகாப்பு ஏய்ப்பு மற்றும் கூடுதல் தீங்கிழைக்கும் கருவிகளின் படிப்படியாக விநியோகத்தை செயல்படுத்தும் ஆரம்ப நிலையைப் பெறுகிறார்கள்.
பொருளடக்கம்
பல-நிலை ஊடுருவலில் கவுண்ட்லோடரின் பங்கு
இந்தப் பிரச்சாரத்தில், கவுண்ட்லோடர் ஒரு பரந்த தாக்குதல் சங்கிலியில் முதல் அங்கமாக செயல்படுகிறது. முந்தைய விசாரணைகள் ஏற்கனவே கோபால்ட் ஸ்ட்ரைக், அடாப்டிக்சி2, ப்யூர்ஹெச்விஎன்சி ராட், அமேடெரா ஸ்டீலர் மற்றும் ப்யூர்மினர் உள்ளிட்ட பல்வேறு இரண்டாம் நிலை பேலோடுகளைப் பயன்படுத்த ஏற்றியின் திறனைக் காட்டியுள்ளன. குறைந்தபட்சம் ஜூன் 2025 முதல் நிஜ உலகத் தாக்குதல்களில் கவுண்ட்லோடர் தீவிரமாகப் பயன்படுத்தப்பட்டு வருவதாக சான்றுகள் தெரிவிக்கின்றன, இது அதன் முதிர்ச்சியையும் தொடர்ச்சியான வளர்ச்சியையும் அடிக்கோடிட்டுக் காட்டுகிறது.
போலி பதிவிறக்கங்கள் முதல் அமைதியான செயல்படுத்தல் வரை
பாதிக்கப்பட்டவர்கள் மைக்ரோசாஃப்ட் வேர்டு போன்ற முறையான மென்பொருளின் கிராக் செய்யப்பட்ட பதிப்புகளைப் பதிவிறக்க முயற்சிக்கும்போது தொற்று வரிசை தொடங்குகிறது. வாக்குறுதியளிக்கப்பட்ட பயன்பாட்டைப் பெறுவதற்குப் பதிலாக, அவர்கள் மீடியாஃபயர் ஹோஸ்ட் செய்த ஜிப் காப்பகத்திற்கு திருப்பி விடப்படுகிறார்கள். இந்தக் காப்பகத்தில் இரண்டு முக்கிய உருப்படிகள் உள்ளன: ஒரு மறைகுறியாக்கப்பட்ட ஜிப் கோப்பு மற்றும் அதைத் திறக்கத் தேவையான கடவுச்சொல்லை வசதியாக வழங்கும் வேர்டு ஆவணம்.
பாதுகாக்கப்பட்ட காப்பகத்திற்குள் Setup.exe என மறுபெயரிடப்பட்ட ஒரு முறையான பைதான் மொழிபெயர்ப்பாளர் உள்ளது. இந்த இயங்கக்கூடியது mshta.exe ஐப் பயன்படுத்தி தொலைதூர சேவையகத்திலிருந்து CountLoader பதிப்பு 3.2 ஐ மீட்டெடுக்கும் ஒரு தீங்கிழைக்கும் கட்டளையைத் தொடங்க உள்ளமைக்கப்பட்டுள்ளது, இது அமைதியாக சமரசத்தைத் தொடங்குகிறது.
ஏமாற்றுதல் மற்றும் சுற்றுச்சூழல் விழிப்புணர்வு மூலம் விடாமுயற்சி
நீண்டகால அணுகலை உறுதி செய்வதற்காக, தீம்பொருள் முறையானதாகத் தோன்றும் வகையில் வடிவமைக்கப்பட்ட ஒரு திட்டமிடப்பட்ட பணியை உருவாக்குவதன் மூலம் நிலைத்தன்மையை நிறுவுகிறது. இது 'GoogleTaskSystem136.0.7023.12' என்ற பெயரை ஏற்றுக்கொள்கிறது, அதைத் தொடர்ந்து ஒரு தனித்துவமான அடையாளங்காட்டியை ஒத்த ஒரு சரம் உள்ளது. இந்தப் பணி ஒரு தசாப்தத்திற்கு ஒவ்வொரு 30 நிமிடங்களுக்கும் செயல்படுத்தும்படி கட்டமைக்கப்பட்டுள்ளது, mshta.exe ஐ செயல்படுத்துகிறது மற்றும் தேவைப்பட்டால் ஒரு ஃபால்பேக் டொமைனை நம்பியுள்ளது.
அதன் நிலைத்தன்மை பொறிமுறையை இறுதி செய்வதற்கு முன், கவுண்ட்லோடர் விண்டோஸ் மேனேஜ்மென்ட் இன்ஸ்ட்ருமென்டேஷன் (WMI) மூலம் வைரஸ் தடுப்பு சரக்குகளை வினவுவதன் மூலம் ஒரு குறிப்பிட்ட பாதுகாப்பு தயாரிப்பு இருப்பதை கணினியைச் சரிபார்க்கிறது. கருவி கண்டறியப்பட்டால், ஏற்றி அதன் செயல்பாட்டு முறையை cmd.exe /c start /b mshta.exe ஐப் பயன்படுத்த நுட்பமாக மாற்றுகிறது. இல்லையெனில், அது mshta.exe ஐப் பயன்படுத்தி தொலை URL ஐ நேரடியாகத் தொடர்பு கொள்கிறது, இது உராய்வு மற்றும் சந்தேகத்தைக் குறைக்கிறது.
விரிவாக்கும் திறன்கள் மற்றும் மட்டு அம்சங்கள்
நிறுவப்பட்டதும், கவுண்ட்லோடர் பாதிக்கப்பட்ட ஹோஸ்டை சுயவிவரப்படுத்தி, தேவைக்கேற்ப கூடுதல் பேலோடுகளை மீட்டெடுக்கிறது. சமீபத்திய மறு செய்கை புதிய செயல்பாட்டை அறிமுகப்படுத்துகிறது, இதில் நீக்கக்கூடிய USB டிரைவ்கள் வழியாக பரவும் திறன் மற்றும் mshta.exe அல்லது PowerShell ஐப் பயன்படுத்தி நினைவகத்தில் நேரடியாக தீங்கிழைக்கும் குறியீட்டை இயக்கும் திறன் ஆகியவை அடங்கும். இதன் ஆதரிக்கப்படும் திறன்களில் பின்வருவன அடங்கும்:
- தொலை URL களில் இருந்து செயல்படுத்தக்கூடியவற்றை மீட்டெடுத்து இயக்குதல்.
- ZIP காப்பகங்களைப் பதிவிறக்குதல் மற்றும் உட்பொதிக்கப்பட்ட பைதான் தொகுதிகள் அல்லது EXE கோப்புகளை இயக்குதல்
- DLL கோப்புகளைப் பெற்று rundll32.exe வழியாக அவற்றைத் தொடங்குதல்.
- MSI தொகுப்புகளைப் பதிவிறக்கி நிறுவுதல்
- தடயவியல் தடயங்களைக் குறைக்க அதன் சொந்த திட்டமிடப்பட்ட பணியை நீக்குதல்
- விரிவான கணினி தகவல்களை சேகரித்து வெளியேற்றுதல்
- மறைக்கப்பட்ட மூலங்களுடன் தீங்கிழைக்கும் LNK கோப்புகளை உருவாக்குவதன் மூலம் நீக்கக்கூடிய ஊடகங்கள் மூலம் பரப்புதல், இது கட்டளை மற்றும் கட்டுப்பாட்டு அளவுருக்களுடன் mshta.exe வழியாக முறையான கோப்பு மற்றும் தீம்பொருள் இரண்டையும் செயல்படுத்துகிறது.
- தாக்குபவர் கட்டுப்படுத்தும் URL களுக்கு எதிராக mshta.exe ஐ நேரடியாக செயல்படுத்துதல்.
- ரிமோட் பவர்ஷெல் பேலோடுகளை முழுவதுமாக நினைவகத்தில் செயல்படுத்துதல்
இறுதி சுமை: ACR ஸ்டீலர்
கவனிக்கப்பட்ட தாக்குதல் சங்கிலியில், கவுண்ட்லோடர் இறுதியில் ACR ஸ்டீலரை வழங்கியது, இது சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து முக்கியமான தரவை உறிஞ்சுவதற்காக வடிவமைக்கப்பட்ட ஒரு தகவல் திருட்டு தீம்பொருள் ஆகும். இந்த இறுதி கட்டம் திருட்டு மென்பொருளை உள்ளடக்கிய ஆரம்ப ஈர்ப்பை முழு அளவிலான தரவு திருட்டு நடவடிக்கையாக மாற்றுகிறது.
இந்தப் பிரச்சாரம் பாதுகாவலர்களுக்கு என்ன சமிக்ஞை செய்கிறது
இந்த செயல்பாடு கவுண்ட்லோடரின் தொடர்ச்சியான பரிணாமத்தையும் வளர்ந்து வரும் நுட்பத்தையும் நிரூபிக்கிறது. பைதான் மொழிபெயர்ப்பாளரை துஷ்பிரயோகம், திட்டமிடப்பட்ட பணியை மறைத்தல், கையொப்பமிடப்பட்ட பைனரி தவறாகப் பயன்படுத்துதல் மற்றும் கோப்பு இல்லாத, நினைவகத்தில் செயல்படுத்துதல் ஆகியவற்றின் கலவையானது, திருட்டுத்தனமான ஊடுருவல் நுட்பங்களை நோக்கிய பரந்த மாற்றத்தை பிரதிபலிக்கிறது. பாதுகாப்பாளர்களுக்கு, பிரச்சாரம் முன்கூட்டியே கண்காணிப்பு, அடுக்கு பாதுகாப்பு கட்டுப்பாடுகள் மற்றும் பயனர் விழிப்புணர்வின் முக்கியத்துவத்தை வலுப்படுத்துகிறது, குறிப்பாக அங்கீகரிக்கப்படாத அல்லது கிராக் செய்யப்பட்ட மென்பொருளைப் பதிவிறக்குவதன் அபாயங்கள் குறித்து.
