வினோஸ் RAT தீம்பொருள்

சீன மொழி பயனர்கள், உண்மையான மென்பொருள் பதிவிறக்கப் பக்கங்களை நம்பத்தகுந்த போலிகளுடன் மாற்றும் ஒரு SEO-விஷ பிரச்சாரத்தால் குறிவைக்கப்படுகிறார்கள். தாக்குபவர்கள் தீங்கிழைக்கும் நிறுவிகளை கையாளப்பட்ட தேடல் தரவரிசைகள் மற்றும் கிட்டத்தட்ட ஒரே மாதிரியான டொமைன்கள் வழியாகத் தள்ளினர், இதனால் பாதிக்கப்பட்டவர்கள் முறையான மென்பொருளைப் போல தோற்றமளிக்கும் ஆனால் உண்மையில் தொலைதூர அணுகல் தீம்பொருளைப் பயன்படுத்துவதை எளிதாக்கினர்.

பிரச்சாரம் எவ்வாறு செயல்படுகிறது

அச்சுறுத்தல் செய்பவர்கள், SEO செருகுநிரல்களை துஷ்பிரயோகம் செய்வதன் மூலமும், முறையான விற்பனையாளர்களைப் போலவே தோற்றமளிக்கும் டொமைன்களைப் பதிவு செய்வதன் மூலமும் தேடல் முடிவுகளில் ஏமாற்றப்பட்ட பக்கங்களை அதிகரித்தனர். மக்களை ஏமாற்றி கிளிக் செய்ய வைக்க அவர்கள் நுட்பமான எழுத்து பரிமாற்றங்கள் மற்றும் சரளமான சீன நகலெடுப்பை நம்பியிருந்தனர். பாதிக்கப்பட்டவர் ட்ரோஜனேற்றப்பட்ட பதிவிறக்கப் பக்கத்தில் இறங்கியவுடன், நிறுவல் தொகுப்பில் எதிர்பார்க்கப்படும் பயன்பாடு மற்றும் மறைக்கப்பட்ட தீங்கிழைக்கும் கூறு இரண்டும் உள்ளன. இந்தக் கலவையானது சாதாரண பயனர்களால் கண்டறிவதை சாத்தியமற்றதாக்குகிறது.

இலக்குகள் மற்றும் காலவரிசை

ஆகஸ்ட் 2025 இல் ஆராய்ச்சியாளர்கள், இந்த பிரச்சாரம் முதன்மையாக பிரபலமான உற்பத்தித்திறன் மற்றும் தகவல் தொடர்பு கருவிகளைத் தேடும் பயனர்களை ஈர்க்கிறது என்பதைக் கண்டறிந்தனர். பாதிக்கப்பட்டவர்களை கவர்ந்திழுக்கப் பயன்படுத்தப்படும் தேடல் இலக்குகளின் எடுத்துக்காட்டுகள்:

டீப்எல் மொழிபெயர்ப்பு

கூகிள் குரோம்

சிக்னல்

தந்தி

வாட்ஸ்அப்

WPS அலுவலகம்

சம்பந்தப்பட்ட மால்வேர் குடும்பங்கள்

இந்தத் தாக்குதல்கள் Gh0st RAT தொடர்பான வகைகளைப் பயன்படுத்த வழிவகுத்தன, குறிப்பாக HiddenGh0st மற்றும் Winos (ValleyRAT என்றும் அழைக்கப்படுகிறது). சில்வர் ஃபாக்ஸ், ஸ்விம்ஸ்னேக், தி கிரேட் தீஃப் ஆஃப் வேலி (Valley Thief), UTG-Q-1000, மற்றும் Void Arachne போன்ற பல மாற்றுப் பெயர்களில் கண்காணிக்கப்பட்ட சைபர் கிரைம் கிளஸ்டருக்கு வினோஸ் காரணமாகக் கூறப்படுகிறது, மேலும் இது குறைந்தது 2022 முதல் செயலில் இருப்பதாக நம்பப்படுகிறது.

டெலிவரி செயின் - தொழில்நுட்ப கோளாறு

nice.js என்று பெயரிடப்பட்ட ஒரு சிறிய ஜாவாஸ்கிரிப்ட் கோப்பு பல-படி விநியோகத்தை ஒழுங்குபடுத்துகிறது. ஸ்கிரிப்ட் மீண்டும் மீண்டும் JSON பதில்களைப் பெறுகிறது: ஒரு ஆரம்ப பதிவிறக்க இணைப்பு இரண்டாம் நிலை இணைப்பைக் கொண்ட JSON ஐ வழங்குகிறது, அந்த இரண்டாவது இணைப்பு மற்றொரு JSON பேலோடை வழங்குகிறது, இது இறுதியாக தீங்கிழைக்கும் நிறுவி URL க்கு திருப்பி விடப்படுகிறது. இந்த அடுக்கு திசைதிருப்பல் இறுதி பேலோட் இருப்பிடத்தை தெளிவற்றதாக்குகிறது மற்றும் எளிய கண்டறிதலை சிக்கலாக்குகிறது.

நிறுவியின் உள்ளே:

EnumW.dll என்ற தீங்கிழைக்கும் DLL, பகுப்பாய்வு எதிர்ப்பு சோதனைகளின் தொகுப்பைச் செய்து, பின்னர் இரண்டாவது DLL (vstdlib.dll) ஐப் பிரித்தெடுக்கிறது. vstdlib.dll இன் பிரித்தெடுத்தல் மற்றும் நடத்தை நினைவக பயன்பாட்டை அதிகரிக்கவும், பகுப்பாய்வு கருவிகளை மெதுவாக்கவும் வடிவமைக்கப்பட்டுள்ளது, இது தானியங்கி அல்லது கைமுறை ஆய்வுக்கு இடையூறாக அமைகிறது.

இரண்டாவது DLL, ஒரு குறிப்பிட்ட வைரஸ் தடுப்பு தயாரிப்பின் இருப்பை கணினியில் ஆய்வு செய்த பின்னரே பிரதான பேலோடைத் திறந்து துவக்குகிறது. அந்த AV கூறு கண்டறியப்பட்டால், தீம்பொருள் நிலைத்தன்மையை நிறுவ TypeLib COM ஹைஜாக்கிங்கைப் பயன்படுத்தி இறுதியில் insalivation.exe என்ற விண்டோஸ் பைனரியை இயக்குகிறது.

வைரஸ் தடுப்பு இல்லையென்றால், தீம்பொருள் அதற்கு பதிலாக ஒரு விண்டோஸ் குறுக்குவழியை உருவாக்குகிறது, அது நிலைத்தன்மையை அடைய அதே இயங்கக்கூடியதை சுட்டிக்காட்டுகிறது.

இறுதி பேலோட்: SIDELOADING AIDE.dll

AIDE.dll எனப்படும் DLL ஐ ஓரங்கட்டுவதே இறுதி நோக்கமாகும். செயல்பட்டவுடன், AIDE.dll மூன்று முதன்மை செயல்பாட்டு திறன்களை செயல்படுத்துகிறது:

• கட்டளை மற்றும் கட்டுப்பாடு (C2): வழிமுறைகள் மற்றும் தரவு பரிமாற்றத்திற்காக தொலை சேவையகத்துடன் மறைகுறியாக்கப்பட்ட தொடர்புகள்.
• இதயத்துடிப்பு: இயங்கும் செயல்முறைகளை கணக்கிடுதல் மற்றும் பாதுகாப்பு தயாரிப்புகளின் கடின குறியீட்டு பட்டியலுடன் அவற்றைச் சரிபார்த்தல் உள்ளிட்ட அமைப்பு மற்றும் பாதிக்கப்பட்ட தகவல்களை அவ்வப்போது சேகரித்தல்.
• கண்காணிப்பு: நிலைத்தன்மையை உறுதிப்படுத்துதல், பயனர்-செயல்பாட்டு கண்காணிப்பு மற்றும் C2 க்கு வழக்கமான பீக்கனிங்.

கூடுதல் திறன்கள் மற்றும் செருகுநிரல்கள்

கூடுதல் செருகுநிரல்களைப் பெறுவதற்கான தொலை கட்டளைகளை C2 தொகுதி ஆதரிக்கிறது. அறியப்பட்ட திறன்களில் கீலாக்கிங், கிளிப்போர்டு பிடிப்பு, திரை கண்காணிப்பு மற்றும் கிரிப்டோகரன்சி பணப்பைகளை - குறிப்பாக Ethereum மற்றும் Tether சொத்துக்களை வைத்திருக்கும் பணப்பைகளை - கடத்த வடிவமைக்கப்பட்ட கருவிகள் ஆகியவை அடங்கும். இந்த சம்பவங்களில் காணப்பட்ட பல செருகுநிரல்கள் வினோஸ் கட்டமைப்பிலிருந்து மீண்டும் பயன்படுத்தப்பட்ட கூறுகளாகத் தோன்றுகின்றன மற்றும் தொடர்ச்சியான திரை கண்காணிப்பை மேற்கொள்ளும் திறன் கொண்டவை.

தொற்று ஏன் எளிதில் பரவுகிறது?

நிறுவி, தீங்கிழைக்கும் பேலோடுடன் சட்டப்பூர்வமான பயன்பாட்டைத் தொகுத்து வழங்குவதால், நம்பகமான நிரலைப் போலத் தோன்றுவதைப் பதிவிறக்கும் பயனர் எதையும் தவறாகக் கவனிக்காமல் போகலாம். தாக்குபவர்கள் உயர்தர தேடல் முடிவுகளைக் கூட ஆயுதமாகக் கொண்டு செயல்பட்டனர், இது நல்லெண்ணம் கொண்ட பயனர்கள் சமரசம் செய்யப்பட்ட தொகுப்புகளை நிறுவும் வாய்ப்பை அதிகரிக்கிறது.

பாதுகாப்பு பரிந்துரைகள்

• மென்பொருளைப் பதிவிறக்குவதற்கு முன்பு எப்போதும் டொமைன் பெயர்களை கவனமாகச் சரிபார்க்கவும்; நுட்பமான எழுத்து மாற்றுகள் மற்றும் பொருந்தாத URLகளைத் தேடுங்கள்.
• தேடல் முடிவுகளிலிருந்து பதிவிறக்கங்களை விட அதிகாரப்பூர்வ விற்பனையாளர் தளங்கள் அல்லது சரிபார்க்கப்பட்ட ஆப் ஸ்டோர்களை விரும்புங்கள்.
• நிறுவி நடத்தையை (கோப்பு கையொப்பங்களை மட்டும் அல்ல) ஆய்வு செய்யும் எண்ட்பாயிண்ட் பாதுகாப்பைப் பயன்படுத்தவும் மற்றும் DLL சைட்லோடிங் மற்றும் COM ஹைஜாக்கிங்கிற்கு எதிராக பாதுகாப்பை இயக்கவும்.

முடிவுரை

இந்த பிரச்சாரம், தாக்குபவர்கள் SEO கையாளுதல், ஒத்த தோற்றமுடைய டொமைன்கள், பல-நிலை திருப்பிவிடுதல் மற்றும் அதிநவீன DLL-அடிப்படையிலான ஏய்ப்பு ஆகியவற்றை இணைத்து Gh0st-RAT–குடும்ப தீம்பொருளை சீன மொழி பேசும் பயனர்களுக்கு எவ்வாறு தள்ளுகிறார்கள் என்பதைக் காட்டுகிறது. முறையான பைனரிகள் மற்றும் மறைக்கப்பட்ட பேலோடுகளின் கலவை விழிப்புணர்வை அவசியமாக்குகிறது: மூலங்களைச் சரிபார்க்கவும், டொமைன்களை ஆராயவும், இயக்க நேர நடத்தை மற்றும் கோப்பு நற்பெயரைப் பார்க்கும் பாதுகாப்புகளைப் பயன்படுத்தவும்.