AtlasCross RAT

విశ్వసనీయ సాఫ్ట్‌వేర్ బ్రాండ్‌లను అనుకరించే టైపోస్క్వాటెడ్ డొమైన్‌ల ద్వారా, ఒక భారీ సైబర్‌దాడి ప్రచారం చైనీస్ మాట్లాడే వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుంటోంది. ఈ మోసపూరిత వెబ్‌సైట్‌లు, అట్లాస్‌క్రాస్ RAT అని పిలువబడే, ఇంతకుముందు నమోదుకాని ఒక రిమోట్ యాక్సెస్ ట్రోజన్‌ను పంపిణీ చేయడానికి రూపొందించబడ్డాయి. ఈ ప్రచారం, VPN క్లయింట్లు, ఎన్‌క్రిప్టెడ్ మెసేజింగ్ ప్లాట్‌ఫారమ్‌లు, వీడియో కాన్ఫరెన్సింగ్ సాధనాలు, క్రిప్టోకరెన్సీ ట్రాకర్‌లు మరియు ఇ-కామర్స్ సాఫ్ట్‌వేర్‌లతో సహా విస్తృతంగా ఉపయోగించే అప్లికేషన్‌లపై వినియోగదారుల నమ్మకాన్ని ఉపయోగించుకుంటోంది.

ఈ మౌలిక సదుపాయంలో సర్ఫ్‌షార్క్ VPN, సిగ్నల్, టెలిగ్రామ్, జూమ్ మరియు మైక్రోసాఫ్ట్ టీమ్స్ వంటి సుప్రసిద్ధ సేవలను అనుకరిస్తున్న, ధృవీకరించబడిన పదకొండు హానికరమైన డొమైన్‌లు ఉన్నాయి. ఈ వ్యూహాత్మక అనుకరణ, బ్రాండ్ పరిచయాన్ని ఉపయోగించుకోవడం ద్వారా విజయవంతమైన ఇన్‌ఫెక్షన్‌ల సంభావ్యతను పెంచుతుంది.

ముప్పు కలిగించే వారి ప్రొఫైల్: ది సిల్వర్ ఫాక్స్ కలెక్టివ్

ఈ దాడికి సిల్వర్ ఫాక్స్ అని పిలువబడే ఒక చురుకైన చైనీస్ సైబర్ క్రైమ్ గ్రూపు కారణమని ఆపాదించబడింది. ఈ గ్రూపు స్విమ్‌స్నేక్, ది గ్రేట్ థీఫ్ ఆఫ్ వ్యాలీ (వ్యాలీ థీఫ్), యూటీజీ-క్యూ-1000, మరియు వాయిడ్ అరాక్నే వంటి అనేక మారుపేర్లతో పనిచేస్తుంది. సంస్థలలోని నిర్వాహక మరియు ఆర్థిక సిబ్బందిని ఇది నిరంతరం లక్ష్యంగా చేసుకోవడం వలన, భద్రతా పరిశోధకులు ఈ గ్రూపును ఇటీవలి సంవత్సరాలలో అత్యంత చురుకైన సైబర్ ముప్పులలో ఒకటిగా పరిగణిస్తున్నారు.

సిల్వర్ ఫాక్స్ మెసేజింగ్ ప్లాట్‌ఫారమ్‌లు, ఫిషింగ్ ఇమెయిల్‌లు మరియు నకిలీ సాఫ్ట్‌వేర్ పంపిణీ సైట్‌ల వంటి విభిన్న ఇన్ఫెక్షన్ మార్గాలను ఉపయోగిస్తుంది. రిమోట్ సిస్టమ్ నియంత్రణ, సున్నితమైన డేటా బహిష్కరణ మరియు ఆర్థిక మోసాలు ఈ బృందం యొక్క లక్ష్యాలలో ఉన్నాయి.

మాల్వేర్ పరిణామం: ఘోస్ట్ ర్యాట్ నుండి అట్లాస్‌క్రాస్ వరకు

అట్లాస్‌క్రాస్ RAT ఆవిర్భావం సిల్వర్ ఫాక్స్ యొక్క మాల్వేర్ టూల్‌కిట్‌లో ఒక ముఖ్యమైన పురోగతిని సూచిస్తుంది. మునుపటి కార్యకలాపాలు వ్యాలీర్యాట్ (వైనోస్ 4.0 అని కూడా పిలుస్తారు), ఘోస్ట్‌క్రింజ్, మరియు హోల్డింగ్‌హ్యాండ్స్ RAT (ఘోస్ట్‌బిన్స్) వంటి ఘోస్ట్‌ర్యాట్ నుండి ఉద్భవించిన వేరియంట్లపై ఎక్కువగా ఆధారపడ్డాయి. అట్లాస్‌క్రాస్ అనేది మరింత అధునాతనమైన పరిణామాన్ని సూచిస్తుంది, ఇది మెరుగైన స్టెల్త్, ఎగ్జిక్యూషన్, మరియు పర్సిస్టెన్స్ మెకానిజమ్‌లను కలిగి ఉంది.

సంక్రమణ గొలుసు విశ్లేషణ: ఎర నుండి అమలు వరకు

వినియోగదారులను మోసగించి ZIP ఆర్కైవ్‌లను డౌన్‌లోడ్ చేయించే మోసపూరిత వెబ్‌సైట్‌లతో ఈ దాడి గొలుసు మొదలవుతుంది. ఈ ఆర్కైవ్‌లలో ఒక చట్టబద్ధమైన మాయోపాయ అప్లికేషన్‌ను మరియు ట్రోజనైజ్ చేయబడిన ఆటోడెస్క్ బైనరీని రెండింటినీ ఇన్‌స్టాల్ చేసే ఇన్‌స్టాలర్‌లు ఉంటాయి. ఆ హానికరమైన ఇన్‌స్టాలర్, Gh0st RAT నుండి తీసుకోబడిన ఒక ఎంబెడెడ్ కాన్ఫిగరేషన్‌ను డీక్రిప్ట్ చేసే షెల్‌కోడ్ లోడర్‌ను ప్రారంభిస్తుంది.

ఈ ప్రక్రియ కమాండ్-అండ్-కంట్రోల్ (C2) వివరాలను సంగ్రహించి, TCP పోర్ట్ 9899 ద్వారా 'bifa668.com' డొమైన్ నుండి రెండవ-దశ పేలోడ్‌ను తిరిగి పొందుతుంది. చివరి దశ అట్లాస్‌క్రాస్ RAT యొక్క ఇన్-మెమరీ ఎగ్జిక్యూషన్‌కు దారితీస్తుంది, ఇది సాంప్రదాయ భద్రతా సాధనాల ద్వారా గుర్తించబడటాన్ని గణనీయంగా తగ్గిస్తుంది.

హానికరమైన మౌలిక సదుపాయాలు: ఆయుధాలుగా మార్చబడిన డొమైన్‌లు

ఈ ప్రచారం ఒక సమన్వయంతో కూడిన మౌలిక సదుపాయాల ఏర్పాటును ప్రదర్శిస్తుంది, ఇందులో చాలా హానికరమైన డొమైన్‌లు అక్టోబర్ 27, 2025న నమోదు చేయబడ్డాయి, ఇది ఉద్దేశపూర్వక ప్రణాళికను సూచిస్తుంది. మాల్వేర్ పంపిణీ కోసం ఉపయోగించినట్లు నిర్ధారించబడిన డొమైన్‌లలో ఇవి ఉన్నాయి:

యాప్-జూమ్.కామ్
eyy-eyy.com
kefubao-pc.com
క్విక్‌క్యూ-క్విక్‌క్యూ.కామ్
సిగ్నల్-సిగ్నల్.కామ్
telegrtam.com.cn
ట్రెజోర్-ట్రెజోర్.కామ్
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

ఈ డొమైన్‌లు చట్టబద్ధమైన సేవలను చాలా దగ్గరగా అనుకరిస్తాయి, అనుమానాన్ని నివారించడానికి తరచుగా సూక్ష్మమైన అక్షర దోషాలను లేదా ప్రాంతీయ గుర్తింపు చిహ్నాలను చేర్చుకుంటాయి.

విశ్వాస దుర్వినియోగం: దొంగిలించబడిన కోడ్-సైనింగ్ సర్టిఫికేట్లు

గుర్తించబడిన అన్ని హానికరమైన ఇన్‌స్టాలర్‌లు, వియత్నాంలోని హనోయిలో ఉన్న DUC FABULOUS CO., LTD అనే కంపెనీకి జారీ చేయబడిన, దొంగిలించబడిన ఒకే ఎక్స్‌టెండెడ్ వాలిడేషన్ (EV) కోడ్-సైనింగ్ సర్టిఫికేట్‌ను ఉపయోగించి సంతకం చేయబడ్డాయి. సంబంధం లేని అనేక మాల్వేర్ ప్రచారాలలో ఈ సర్టిఫికేట్‌ను తిరిగి ఉపయోగించడం, సైబర్ నేరగాళ్ల వ్యవస్థలో ఇది విస్తృతంగా వ్యాప్తి చెందిందని సూచిస్తుంది. ఈ వ్యూహం హానికరమైన బైనరీల యొక్క చట్టబద్ధతను పెంచి, భద్రతా రక్షణలను దాటవేయడానికి సహాయపడుతుంది.

అధునాతన సామర్థ్యాలు: అట్లాస్‌క్రాస్ RAT లోపల

అట్లాస్‌క్రాస్ RAT అనేది గోప్యత, నిలకడ మరియు నియంత్రణ కోసం రూపొందించబడిన శక్తివంతమైన సామర్థ్యాల సముదాయాన్ని పరిచయం చేస్తుంది. ఇది పవర్‌షెల్ ఫ్రేమ్‌వర్క్‌ను అనుసంధానిస్తుంది, ఇది ఒక నేటివ్ C/C++ పవర్‌షెల్ ఎగ్జిక్యూషన్ ఇంజిన్, ఇది .NET కామన్ లాంగ్వేజ్ రన్‌టైమ్ (CLR)ను నేరుగా మాల్వేర్ ప్రాసెస్‌లో పొందుపరుస్తుంది.

కమాండ్‌లను అమలు చేయడానికి ముందు, ఈ మాల్వేర్ AMSI, ETW, కన్‌స్ట్రెయిన్డ్ లాంగ్వేజ్ మోడ్, మరియు స్క్రిప్ట్‌బ్లాక్ లాగింగ్ వంటి కీలక భద్రతా యంత్రాంగాలను నిలిపివేస్తుంది. హార్డ్‌వేర్-ఆధారిత యాదృచ్ఛిక సంఖ్య జనరేషన్ ద్వారా రూపొందించబడిన ప్రతి ప్యాకెట్ యాదృచ్ఛిక కీలతో, కమాండ్-అండ్-కంట్రోల్ సర్వర్‌లతో కమ్యూనికేషన్ ChaCha20 ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడుతుంది.

ప్రధాన కార్యాచరణలు:

• వీచాట్‌లోకి లక్షిత DLL ఇంజెక్షన్
• రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) సెషన్ హైజాకింగ్
• 360 సేఫ్, హువొరాంగ్, కింగ్‌సాఫ్ట్ మరియు క్యూక్యూ పీసీ మేనేజర్ వంటి చైనీస్ భద్రతా సాధనాల నుండి కనెక్షన్‌ల యొక్క TCP-స్థాయి ముగింపు
• ఫైల్ సిస్టమ్ నిర్వహణ మరియు షెల్ కమాండ్ అమలు
• షెడ్యూల్ చేయబడిన పనుల సృష్టి ద్వారా పట్టుదల

కార్యాచరణ వ్యూహం: భారీస్థాయిలో మోసం

సిల్వర్ ఫాక్స్ విశ్వసనీయతను కాపాడుకోవడానికి మరియు పట్టుబడకుండా తప్పించుకోవడానికి బహుళ-అంచెల డొమైన్ వ్యూహాన్ని ఉపయోగిస్తుంది. ఇందులో టైపోస్క్వాటింగ్, డొమైన్ హైజాకింగ్, మరియు DNS మానిప్యులేషన్ వంటివి ఉంటాయి. వినియోగదారుల అనుమానాన్ని తగ్గించడానికి, వీటిని తరచుగా ప్రాంత-నిర్దిష్ట నామకరణ పద్ధతులతో కలిపి ఉపయోగిస్తారు. చట్టబద్ధమైన సేవలను నమ్మకంగా అనుకరించగల ఈ బృందం యొక్క సామర్థ్యం, ఈ ప్రచారం యొక్క ప్రభావశీలతలో కీలక పాత్ర పోషిస్తుంది.

ఆసియా అంతటా దాడి మార్గాలను విస్తరించడం

కనీసం డిసెంబర్ 2025 నుండి, ఈ బృందం జపాన్, మలేషియా, ఫిలిప్పీన్స్, థాయ్‌లాండ్, ఇండోనేషియా, సింగపూర్ మరియు భారతదేశంతో సహా పలు దేశాలకు తమ కార్యకలాపాలను విస్తరించింది. హానికరమైన PDF అటాచ్‌మెంట్‌లతో కూడిన ఫిషింగ్ ఇమెయిల్‌ల నుండి, SyncFuture TSM వంటి చట్టబద్ధమైన కానీ తప్పుగా కాన్ఫిగర్ చేయబడిన రిమోట్ పర్యవేక్షణ మరియు నిర్వహణ సాధనాల దుర్వినియోగానికి మారడం ద్వారా, దాడి పద్ధతులు కాలక్రమేణా పరిణామం చెందాయి.

తదనంతర ప్రచారాలలో, వాట్సాప్ అప్లికేషన్ రూపంలో మారువేషంలో ఉన్న పైథాన్ ఆధారిత సమాచార దొంగను కూడా ఉపయోగించారు. జనవరి 2026లో జరిగిన మునుపటి కార్యకలాపాలలో, బ్లాక్‌మూన్ మాల్‌వేర్‌తో భారతీయ వినియోగదారులను లక్ష్యంగా చేసుకుని పన్నుల నేపథ్యంతో ఎర వేయడం జరిగింది.

ఫ్లెక్సిబుల్ ఆర్సెనల్: అడాప్టివ్ సైబర్‌క్రైమ్ ఆపరేషన్స్

బహుళ మాల్వేర్ కుటుంబాలు మరియు పద్ధతులను కలపడం ద్వారా సిల్వర్ ఫాక్స్ అధిక స్థాయి కార్యాచరణ సౌలభ్యాన్ని ప్రదర్శిస్తుంది. RMM టూల్స్ మరియు కస్టమ్ పైథాన్-ఆధారిత స్టీలర్‌లతో పాటు వ్యాలీరాట్‌ను ఉపయోగించడం, ఇన్ఫెక్షన్ చైన్‌లను వేగంగా మార్చుకోవడానికి వీలు కల్పిస్తుంది. ఈ బహుముఖ ప్రజ్ఞ, పెద్ద ఎత్తున జరిగే అవకాశవాద ప్రచారాలకు మరియు మరింత లక్షిత, వ్యూహాత్మక దాడులకు కూడా మద్దతు ఇస్తుంది.

ఈ బృందం రెండు విధాలుగా పనిచేస్తుంది, విస్తృతమైన దాడులను, దీర్ఘకాలిక సిస్టమ్ యాక్సెస్ మరియు లోతైన నెట్‌వర్క్ చొరబాటు కోసం రూపొందించిన మరింత అధునాతన కార్యకలాపాలతో సమతుల్యం చేస్తుంది.

స్పియర్-ఫిషింగ్ కచ్చితత్వం: కార్పొరేట్ బాధితులను లక్ష్యంగా చేసుకోవడం

విస్తృత ప్రచారాలతో పాటు, సిల్వర్ ఫాక్స్ నిర్దిష్ట పరిశ్రమలను, ముఖ్యంగా జపనీస్ తయారీదారులను లక్ష్యంగా చేసుకుని స్పియర్-ఫిషింగ్ దాడులను నిర్వహిస్తుంది. ఈ దాడులు పన్నుల సమ్మతి, జీతాల సర్దుబాట్లు, ఉద్యోగ మార్పులు మరియు ఉద్యోగుల స్టాక్ యాజమాన్య ప్రణాళికలకు సంబంధించిన అత్యంత నమ్మశక్యమైన ఎరలను ఉపయోగిస్తాయి.

ఒకసారి అమలులోకి వచ్చాక, వ్యాలీరాట్ దాడి చేసేవారికి ఈ క్రింది వాటిని చేయడానికి వీలు కల్పిస్తుంది:

• ఇన్ఫెక్ట్ అయిన సిస్టమ్‌లపై పూర్తి రిమోట్ నియంత్రణను పొందండి
• సున్నితమైన మరియు ఆర్థిక డేటాను సేకరించండి
• వినియోగదారు కార్యకలాపాలను నిజ సమయంలో పర్యవేక్షించండి
• నెట్‌వర్క్‌లో నిలకడను కొనసాగించండి

ఈ స్థాయి యాక్సెస్, ముప్పు కలిగించే వ్యక్తులకు దాడులను తీవ్రతరం చేయడానికి, రహస్య సమాచారాన్ని బయటకు తరలించడానికి, మరియు రాజీపడిన వాతావరణాలలో తదుపరి దోపిడీ దశలకు సిద్ధం కావడానికి వీలు కల్పిస్తుంది.