கிரிப்டோ கிளிப்பர் விண்டோஸ் தாக்குதல் பிரச்சாரம்
பாதுகாப்பு ஆராய்ச்சியாளர்கள், பிப்ரவரி 2026 முதல் செயல்பட்டு வரும் ஒரு அதிநவீன விண்டோஸ் அடிப்படையிலான கிரிப்டோகரன்சி கிளிப்பர் நடவடிக்கை குறித்த விவரங்களை வெளியிட்டுள்ளனர். இந்தத் தாக்குதல், தானாகவே பரவக்கூடிய கிளிப்போர்டைக் கண்காணிக்கும் மால்வேரைப் பயன்படுத்துவதோடு, தனது தகவல் தொடர்பு உள்கட்டமைப்பை மறைப்பதற்காக டோர் அநாமதேய வலையமைப்பையும் சாதகமாகப் பயன்படுத்திக்கொள்கிறது.
வழக்கமான இன்ஸ்டாலர்கள் அல்லது பொதுவில் வெளிப்படுத்தப்பட்ட கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகங்களைச் சார்ந்திருக்கும் வழக்கமான மால்வேர் செயல்பாடுகளைப் போலல்லாமல், இந்த அச்சுறுத்தல் ஒரு கையடக்க டோர் கிளையண்ட்டைப் பயன்படுத்தி, அனைத்து டிராஃபிக்கையும் ஒரு உள்ளூர் SOCKS5 ப்ராக்ஸி வழியாக வழிநடத்துகிறது. கிரிப்டோகரன்சி திருட்டு, தரவுக் கசிவு மற்றும் தொலைநிலை குறியீடு செயல்படுத்தும் திறன்களை ஒன்றிணைப்பதன் மூலம், இந்த மால்வேர் ஒரு கிளிப்பராக மட்டுமல்லாமல், ஒரு இலகுவான பேக்டோர் ஆகவும் செயல்படுகிறது.
பொருளடக்கம்
கிளிப்பர் மால்வேர் செயல்படும் விதம்
கிளிப்பர் மால்வேர், பாதிக்கப்பட்டவரின் கிளிப்போர்டு செயல்பாடுகளை யாருக்கும் தெரியாமல் கண்காணித்து, நினைவகத்தில் நகலெடுக்கப்படும் முக்கியமான தகவல்களை இடைமறிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. அறியப்பட்ட பிளாக்செயின் வடிவங்களுடன் தொடர்புடைய வாலட் முகவரிகளைக் கண்டறிந்து, அவற்றை தாக்குபவரால் கட்டுப்படுத்தப்படும் மாற்று முகவரிகளால் மாற்றுவதன் மூலம், கிரிப்டோகரன்சி பரிவர்த்தனைகளைக் கையாளுவதே இதன் முதன்மை நோக்கமாகும். இதன் விளைவாக, முறையான பயனாளிகளுக்கான நிதிகள், பாதிக்கப்பட்டவருக்குத் தெரியாமலேயே திசை திருப்பப்படலாம்.
இந்தத் தாக்குதல் செயல்முறையானது, உட்பொதிக்கப்பட்ட டோர் ப்ராக்ஸியைத் தொடங்குவதற்கும், மறைக்கப்பட்ட சேவை C2 சேவையகத்துடன் தொடர்புகொள்வதற்கும் விண்டோஸ் ஸ்கிரிப்ட் ஹோஸ்ட் மற்றும் ஆக்டிவ்எக்ஸ் அடிப்படையிலான செயல்பாடுகளைச் சார்ந்துள்ளது. இந்த மால்வேர், கிளிப்போர்டைத் தொடர்ச்சியாகக் கண்காணித்து, ஸ்கிரீன்ஷாட்களைப் பிடித்து, கிரிப்டோகரன்சி தொடர்பான தகவல்களைத் திருடுவதுடன், வாலட் முகவரிகளை நிகழ் நேரத்தில் மாற்றியமைக்கிறது.
USB அடிப்படையிலான தொற்று சங்கிலி மற்றும் புழு செயல்பாடு
நீக்கக்கூடிய USB சேமிப்பக சாதனங்கள் மூலம் தீங்கிழைக்கும் விண்டோஸ் குறுக்குவழி (LNK) கோப்புகளை விநியோகிப்பதன் மூலம் இந்தத் தாக்குதல் தொடங்குகிறது. பாதிக்கப்பட்டவர் இந்தக் குறுக்குவழிகளில் ஒன்றைத் திறக்கும்போது, ஒரு வார்ம் கூறு செயல்படுத்தப்படுகிறது. அந்த மால்வேர், கணினி ஏற்கனவே பாதிக்கப்பட்டிருக்கிறதா என்பதை முதலில் கண்டறிந்து, முந்தைய பாதிப்பு எதுவும் கண்டறியப்படாத பட்சத்தில் மட்டுமே மீதமுள்ள கோப்புகளைப் பதிவிறக்கம் செய்கிறது.
LNK பேலோட், இணைக்கப்பட்ட USB சாதனங்களில் DOC, XLSX, மற்றும் PDF கோப்புகள் உள்ளிட்ட பொதுவாகப் பயன்படுத்தப்படும் ஆவண வடிவங்களைத் தீவிரமாகத் தேடுகிறது. கண்டறியப்பட்டவுடன், இந்தக் கோப்புகள் மறைக்கப்பட்டு, அதே போன்ற பெயர்களைக் கொண்ட தீங்கிழைக்கும் குறுக்குவழிக் கோப்புகளால் மாற்றப்படுகின்றன. இந்த ஏமாற்றும் நுட்பம், முறையான ஆவணம் போல் தோன்றும் ஒன்றைத் திறக்க முயற்சிக்கும்போது, பயனர்கள் அறியாமல் தீம்பொருளைச் செயல்படுத்தும் வாய்ப்பை அதிகரிக்கிறது.
ஆரம்ப ஊடுருவலுக்குப் பிறகு, அந்தப் புழுவானது தொற்று ஏற்படாத மற்ற USB சாதனங்களுக்கும் தொற்றைப் பரப்புவதற்குப் பொறுப்பாகிறது. மேலும், அது புழு மற்றும் திருடி ஆகிய இரண்டு கூறுகளுக்கும் திட்டமிடப்பட்ட பணிகளை உருவாக்குவதன் மூலம் நிலைத்தன்மையையும் ஏற்படுத்துகிறது.
மேம்பட்ட ஏமாற்று மற்றும் தொடர்ச்சியான கட்டளை நிறைவேற்றம்
கிளிப்பர் கூறு, இயக்க முறைமையுடன் நேரடியாகத் தொடர்பு கொள்ள WScript மற்றும் ActiveXObject-ஐப் பயன்படுத்துகிறது. கண்டறியப்படுவதற்கான வாய்ப்பைக் குறைப்பதற்காக, இந்த மால்வேர் செயலில் உள்ள செயல்முறைகளைச் சரிபார்க்கிறது மற்றும் டாஸ்க் மேனேஜர் இயங்கிக்கொண்டிருந்தால் தன்னைத்தானே நிறுத்திக்கொள்கிறது.
செயல்பாட்டின் இறுதிக் கட்டத்தில், பெயர் மாற்றப்பட்ட Tor பைனரி ஒன்று மறைக்கப்பட்ட சாளரத்தில் தொடங்கப்படுகிறது. பின்னர் அந்த மால்வேர், பாதிக்கப்பட்டவருக்கான ஒரு தனித்துவமான அடையாளங்காட்டியை உருவாக்கி, அதைத் தனது தொலைநிலை உள்கட்டமைப்பில் பதிவு செய்கிறது. பதிவுசெய்த பிறகு, அது ஒரு தொடர்ச்சியான செயல்பாட்டுச் சுழற்சிக்குள் நுழைகிறது; ஏறக்குறைய ஒவ்வொரு 500 மில்லி விநாடிகளுக்கும் கிளிப்போர்டின் உள்ளடக்கங்களைக் கண்காணிக்கும் அதே வேளையில், கட்டளைகளுக்காக C2 சேவையகத்தை வினவுகிறது.
கிரிப்டோகரன்சி வாலட் தரவுகள், சீட் ஃபிரேஸ்கள் மற்றும் பிரைவேட் கீகளைச் சேகரிப்பதுடன், இந்த மால்வேர் ஸ்கிரீன்ஷாட்களைப் பிடித்து டோர் நெட்வொர்க் வழியாகப் பரிமாற்றுகிறது. C2 சர்வர் ஒரு EVAL கட்டளையுடன் பதிலளித்தால், தாக்குதல் நடத்தியவர் வழங்கிய குறியீடு பாதிக்கப்பட்ட கணினியில் டைனமிக்காகச் செயல்படுத்தப்பட்டு, அந்த அச்சுறுத்தலின் திறன்களை கணிசமாக விரிவுபடுத்துகிறது.
முக்கிய குறிகாட்டிகள் மற்றும் தற்காப்பு பரிந்துரைகள்
பாதுகாப்புக் குழுக்கள், நிலையான தீம்பொருள் கையொப்பங்களை மட்டும் சார்ந்திருப்பதை விடுத்து, நடத்தை சார்ந்த கண்டறிதல் நுட்பங்களில் கவனம் செலுத்துமாறு அறிவுறுத்தப்படுகிறார்கள். சந்தேகத்திற்கிடமான பவர்ஷெல் அடிப்படையிலான திரைப்பிடிப்புச் செயல்பாடு மற்றும் curl, cmd.exe, பவர்ஷெல் அல்லது பிற எதிர்பாராத இயக்கக்கூடிய கோப்புகள் உள்ளிட்ட பயன்பாடுகளைத் தொடங்குவதற்காக WScript அல்லது CScript போன்ற விண்டோஸ் ஸ்கிரிப்டிங் என்ஜின்களின் அசாதாரணப் பயன்பாடு ஆகியவற்றிற்குக் குறிப்பாகக் கவனம் செலுத்தப்பட வேண்டும்.
பரிந்துரைக்கப்படும் தற்காப்பு நடவடிக்கைகள் பின்வருமாறு:
- அனைத்து நீக்கக்கூடிய மீடியாக்களுக்குமான ஆட்டோரன் மற்றும் ஆட்டோபிளே செயல்பாடுகளை முடக்குதல், குழு கொள்கை பொருள்கள் (GPOs) மூலம் USB சாதனங்களிலிருந்து LNK கோப்பு செயல்படுத்தப்படுவதைத் தடுத்தல், மற்றும் wscript.exe, cscript.exe ஆகியவற்றின் தேவையற்ற பயன்பாட்டைக் கட்டுப்படுத்துதல்.
- நிதி அல்லது கிரிப்டோகரன்சி தொடர்பான செயல்பாடுகளைக் கையாளும் அமைப்புகளில், அசாதாரணமான கிளிப்போர்டு செயல்பாடு, அங்கீகரிக்கப்படாத திரைப்பிடிப்பு நடத்தை மற்றும் சந்தேகத்திற்கிடமான Tor தொடர்பான பிணையத் தொடர்புகள் ஆகியவற்றைக் கண்காணித்தல்.
இந்த அச்சுறுத்தல் ஏன் தனித்து நிற்கிறது
நிதி நோக்கங்களைக் கொண்ட தீம்பொருளின் அதிகரித்து வரும் நுட்பத்தை இந்தப் பிரச்சாரம் எடுத்துக்காட்டுகிறது. USB அடிப்படையிலான வார்ம் பரவல், கிளிப்போர்டு கடத்தல், Tor மூலம் மறைக்கப்பட்ட தகவல்தொடர்புகள், ஸ்கிரீன்ஷாட் கசிவு மற்றும் தொலைநிலை குறியீடு செயலாக்கம் ஆகியவற்றை ஒரே கருவித்தொகுப்பில் இணைப்பதன் மூலம், அதன் இயக்குநர்கள் கிரிப்டோகரன்சி சொத்துக்களைத் திருடுவதற்கும், பாதிக்கப்பட்ட கணினிகளுக்கு நீண்டகால அணுகலைத் தக்கவைத்துக் கொள்வதற்கும் திறன் கொண்ட ஒரு பன்முக அச்சுறுத்தலை உருவாக்கியுள்ளனர். மறைக்கப்பட்ட சேவை உள்கட்டமைப்பின் பயன்பாடு, அதைக் கண்டறிந்து அகற்றும் முயற்சிகளை மேலும் சிக்கலாக்குகிறது. இதனால், முன்கூட்டியே நடத்தை கண்காணிப்பை மேற்கொள்வது ஒரு முக்கியமான பாதுகாப்பு உத்தியாகிறது.
