డ్యూయల్-పేలోడ్ మాల్వేర్ ప్రచారం

కొత్తగా బయటపడిన ఒక మాల్వేర్ దాడి, రెండు వేర్వేరు ముప్పులను ఏకకాలంలో ప్రయోగించగల సామర్థ్యం కారణంగా సైబర్‌ సెక్యూరిటీ వర్గాలలో గణనీయమైన దృష్టిని ఆకర్షిస్తోంది. హ్యాక్ చేయబడిన ఒకే సిస్టమ్‌పైకి Gh0st RAT మరియు CloverPlus రెండింటినీ పంపడానికి, ఒకే అస్పష్టమైన లోడర్‌ను ఉపయోగిస్తారు.

ఈ కలయిక అసాధారణమైనది మరియు అత్యంత వ్యూహాత్మకమైనది. Gh0st RAT సోకిన మెషీన్‌పై పూర్తి రిమోట్ నియంత్రణను సాధ్యం చేస్తుంది, అయితే CloverPlus బ్రౌజర్ కార్యకలాపాలను తారుమారు చేయడం, ప్రకటనల భాగాలను చొప్పించడం మరియు చొరబాటు పాప్-అప్‌ల ద్వారా ఆదాయాన్ని సంపాదించడంపై దృష్టి పెడుతుంది. ఈ ద్వంద్వ విస్తరణ, ముప్పు కలిగించే వ్యక్తులు నిజ సమయంలో ఇన్‌ఫెక్షన్ ద్వారా డబ్బు సంపాదిస్తూనే, నిరంతర అనధికారిక యాక్సెస్‌ను కొనసాగించడానికి వీలు కల్పిస్తుంది.

ఈ ప్రచారం బహుళ-పేలోడ్ డెలివరీ వైపు పెరుగుతున్న ధోరణిని హైలైట్ చేస్తుంది, దీనిలో దాడి చేసేవారు ఒకే రాజీ నుండి కార్యాచరణ సామర్థ్యాన్ని మరియు ఆర్థిక రాబడిని పెంచుకుంటారు.

అస్పష్టం చేసే వ్యూహాలు: పేలోడ్‌ను దాచడం

ఈ ప్రచారానికి కేంద్రమైన లోడర్ రహస్యంగా ఉండేలా రూపొందించబడింది. ఇది సాంప్రదాయ గుర్తింపు యంత్రాంగాలను తప్పించుకోవడానికి, అస్పష్టత పద్ధతులను ఉపయోగించి, తన వనరుల విభాగంలో రెండు ఎన్‌క్రిప్టెడ్ పేలోడ్‌లను పొందుపరుస్తుంది.

AdWare.Win32.CloverPlus గా గుర్తించబడిన మరియు wiseman.exe అనే ఎగ్జిక్యూటబుల్‌తో అనుబంధించబడిన CloverPlus యాడ్‌వేర్ మాడ్యూల్‌తో అమలు ప్రారంభమవుతుంది. ఈ కాంపోనెంట్ బ్రౌజర్ ప్రారంభ సెట్టింగ్‌లను సవరిస్తుంది మరియు నిరంతర పాప్-అప్ ప్రకటనలను చొప్పిస్తుంది.

దీని తరువాత, లోడర్ దాని అమలు మార్గాన్ని అంచనా వేస్తుంది. అది సిస్టమ్ యొక్క %temp% డైరెక్టరీ నుండి పనిచేయకపోతే, ముందుకు సాగడానికి ముందు అక్కడ తన యొక్క ఒక కాపీని సృష్టిస్తుంది. తదుపరి దశలో, మాల్వేర్ బైనరీలో ఎన్‌క్రిప్ట్ చేయబడిన రిసోర్స్‌గా దాగి ఉన్న Gh0st RAT క్లయింట్ మాడ్యూల్‌ను డీక్రిప్ట్ చేయడం ఉంటుంది.

ఒకసారి డీక్రిప్ట్ చేసిన తర్వాత, మాల్వేర్ పేలోడ్‌కు యాదృచ్ఛిక ఫైల్ పేరును కేటాయించి, దానిని C:\ డ్రైవ్ యొక్క రూట్‌లో ఉన్న యాదృచ్ఛిక పేరు గల ఫోల్డర్‌లో నిల్వ చేస్తుంది, ఇది గుర్తింపు మరియు విశ్లేషణను మరింత క్లిష్టతరం చేస్తుంది.

భూమిపై జీవించడం: విశ్వసనీయ సాధనాలు, దురుద్దేశం

డీక్రిప్ట్ చేయబడిన పేలోడ్‌ను అమలు చేయడానికి, ఈ మాల్వేర్ చట్టబద్ధమైన విండోస్ యుటిలిటీ అయిన rundll32.exeను ఉపయోగించుకుంటుంది. ఈ విధానం, ఒక విశ్వసనీయమైన సిస్టమ్ ప్రాసెస్ ముసుగులో హానికరమైన కోడ్‌ను అమలు చేయడానికి వీలు కల్పిస్తుంది, తద్వారా భద్రతా రక్షణలు ప్రేరేపించబడే అవకాశాన్ని గణనీయంగా తగ్గిస్తుంది.

ఒకసారి క్రియాశీలమైన తర్వాత, Gh0st RAT, MAC అడ్రస్ మరియు హార్డ్ డ్రైవ్ సీరియల్ నంబర్ వంటి ప్రత్యేక గుర్తింపులను సేకరించడం ద్వారా రాజీపడిన సిస్టమ్‌ను ప్రొఫైలింగ్ చేయడం ప్రారంభిస్తుంది. ఈ వివరాలు దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ మౌలిక సదుపాయాలలో బాధితుడిని నమోదు చేయడానికి ఉపయోగించబడతాయి, తద్వారా సోకిన హోస్ట్‌లను ఖచ్చితంగా ట్రాక్ చేయడం మరియు నిర్వహించడం నిర్ధారించబడుతుంది.

నిలకడ యంత్రాంగాలు: దీర్ఘకాలిక ప్రాప్యతను నిర్ధారించడం

సిస్టమ్ రీబూట్‌ల తర్వాత కూడా యాక్సెస్‌ను కొనసాగించడం ఈ క్యాంపెయిన్ యొక్క ముఖ్య ఉద్దేశ్యం. Gh0st RAT ఆపరేటింగ్ సిస్టమ్‌లో లోతుగా పొందుపరిచిన బహుళ పద్ధతుల ద్వారా యాక్సెస్ నిలకడను సాధిస్తుంది:

ప్రారంభంలో స్వయంచాలకంగా అమలు అయ్యేలా చూసేందుకు విండోస్ రన్ రిజిస్ట్రీ కీని సవరించడం
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip కింద ఉన్న రిమోట్ యాక్సెస్ సర్వీస్ పాత్‌లో హానికరమైన DLL నమోదు

ఈ పద్ధతులు, సంబంధిత సర్వీస్‌ను ప్రారంభించినప్పుడల్లా మాల్వేర్‌కు సిస్టమ్-స్థాయి అధికారాలను కల్పిస్తాయి, తద్వారా తదుపరి వినియోగదారు జోక్యం అవసరాన్ని తొలగించి, దీర్ఘకాలిక నియంత్రణను బలోపేతం చేస్తాయి.

గుర్తింపు మరియు రక్షణ: రాజీ సూచికలు

ఈ ప్రచారం యొక్క ప్రభావం వ్యక్తులు మరియు సంస్థలు ఇద్దరిపైనా గణనీయంగా ఉంటుంది. యాడ్‌వేర్ భాగం బ్రౌజర్ పనితీరుకు అంతరాయం కలిగించి, హానికరమైన ప్రకటనలకు గురయ్యే అవకాశాన్ని పెంచుతుండగా, RAT భాగం డేటా దొంగతనం, కీస్ట్రోక్ లాగింగ్, భద్రతను దాటవేయడం మరియు నిరంతర ప్రత్యేక అధికార ప్రాప్యతను సాధ్యం చేస్తుంది.

భద్రతా బృందాలు అప్రమత్తంగా ఉండి, ఈ క్రింది రాజీ సూచికలను పర్యవేక్షించాలి:

• అసాధారణ లేదా అనుమానాస్పద డైరెక్టరీల నుండి DLLలను లేదా ప్రామాణికం కాని ఫైల్ ఎక్స్‌టెన్షన్‌లను లోడ్ చేసే rundll32.exe అమలు
• %temp% ఫోల్డర్ నుండి ప్రారంభమయ్యే ప్రక్రియను నిర్వహించండి
• రిజిస్ట్రీ రన్ కీలు లేదా రిమోట్ యాక్సెస్ సర్వీస్ కాన్ఫిగరేషన్‌లకు అనధికారిక మార్పులు
• శాండ్‌బాక్స్ గుర్తింపును తప్పించుకోవడానికి పింగ్-ఆధారిత ఆలస్యాల వాడకం
• అసాధారణ DNS ట్రాఫిక్ నమూనాలు మరియు సిస్టమ్ హోస్ట్ ఫైల్‌లో ఊహించని మార్పులు

ఈ అధునాతన ద్వంద్వ-ముప్పు మాల్వేర్ దాడి వల్ల కలిగే నష్టాలను తగ్గించడానికి, ఈ సంకేతాలను ముందుగానే పర్యవేక్షించడం మరియు వేగంగా స్పందించడం చాలా కీలకం.