GHOSTFORM RAT

GHOSTFORM అనేది .NET-ఆధారిత రిమోట్ యాక్సెస్ ట్రోజన్ (RAT), ఇది అనేక హానికరమైన సామర్థ్యాలను ఒకే ఎక్జిక్యూటబుల్ బైనరీగా కలపడానికి రూపొందించబడింది. మాల్వేర్ పవర్‌షెల్ స్క్రిప్ట్‌లను నేరుగా మెమరీలో అమలు చేస్తుంది, సాంప్రదాయ భద్రతా సాధనాల ద్వారా గుర్తించే సంభావ్యతను తగ్గిస్తుంది. భద్రతా విధానాలను మరింత తప్పించుకోవడానికి, ఇది అదృశ్య విండోస్ ఫారమ్‌లు మరియు ఆలస్యమైన అమలు టైమర్‌ల వంటి పద్ధతులను ఉపయోగిస్తుంది. దాని రహస్య ప్రవర్తన మరియు విస్తృతమైన సామర్థ్యాల కారణంగా, GHOSTFORM యొక్క ఏదైనా గుర్తింపు తక్షణ తొలగింపు మరియు సంఘటన ప్రతిస్పందన విధానాలను ప్రారంభించాలి.

అటాక్ చైన్ వన్: మల్టీ-స్టేజ్ మాల్వేర్ డిప్లాయ్‌మెంట్

మొదటి దాడి గొలుసు WinRAR ను పోలి ఉండేలా రూపొందించబడిన నకిలీ అప్లికేషన్‌ను కలిగి ఉన్న పాస్‌వర్డ్-రక్షిత RAR ఆర్కైవ్ డెలివరీతో ప్రారంభమవుతుంది. బాధితుడు ఆర్కైవ్‌ను తెరిచినప్పుడు, SPLITDROP అని పిలువబడే డ్రాపర్ అమలు చేయబడుతుంది. ఈ డ్రాపర్ రెండు అదనపు మాల్వేర్ భాగాలను ఇన్‌స్టాల్ చేస్తుంది: TWINTASK మరియు TWINTALK.

SPLITDROP మొదట్లో బాధితుడి నుండి దాచిన ఆర్కైవ్‌ను సంగ్రహించడానికి పాస్‌వర్డ్‌ను అభ్యర్థిస్తుంది. ఆర్కైవ్ ఇప్పటికే సిస్టమ్‌లో ఉంటే, అమలు ఆగిపోతుంది. లేకపోతే, డ్రాపర్ వినియోగదారుకు మోసపూరిత దోష సందేశాన్ని ప్రదర్శిస్తూ నేపథ్యంలో ఎంబెడెడ్ పేలోడ్‌ను డీక్రిప్ట్ చేస్తుంది. డీక్రిప్ట్ చేయబడిన కంటెంట్ 'C:\ProgramData\PolGuid' డైరెక్టరీలో నిల్వ చేయబడుతుంది, ఆ తర్వాత దాడిని ముందుకు తీసుకెళ్లడానికి VLC.exe అనే చట్టబద్ధమైన ఎగ్జిక్యూటబుల్ ప్రారంభించబడుతుంది.

అమలు చేసిన తర్వాత, VLC.exe DLL సైడ్‌లోడింగ్ ద్వారా TWINTASK అనే హానికరమైన డైనమిక్ లింక్ లైబ్రరీని లోడ్ చేస్తుంది. ఈ భాగం దాడి చేసేవారి నుండి సూచనల కోసం వేచి ఉండి, పవర్‌షెల్ ఉపయోగించి వాటిని అమలు చేస్తుంది. సిస్టమ్‌లో నిలకడను స్థాపించడానికి మరియు రాజీ యొక్క తదుపరి దశను ప్రారంభించడానికి అనేక ఆదేశాలు ప్రత్యేకంగా ఉపయోగించబడతాయి. ఈ ప్రక్రియలో భాగంగా, స్క్రిప్ట్ WingetUI.exeని ప్రారంభిస్తుంది మరియు సిస్టమ్ పునఃప్రారంభమైనప్పుడల్లా VLC.exe మరియు WingetUI.exe రెండూ స్వయంచాలకంగా అమలు అవుతాయని నిర్ధారించే రిజిస్ట్రీ ఎంట్రీలను సృష్టిస్తుంది.

ట్వింటాక్ మరియు ట్వింటాస్క్: సమన్వయ కమాండ్ ఎగ్జిక్యూషన్

WingetUI.exe అమలు చేయబడినప్పుడు, అది TWINTALK అని పిలువబడే మరొక హానికరమైన మాడ్యూల్‌ను లోడ్ చేస్తుంది. ఈ భాగం దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ సర్వర్‌కు కనెక్ట్ అవుతుంది మరియు సూచనలను తిరిగి పొందుతుంది. రాజీపడిన యంత్రంలో ఆదేశాలను అమలు చేయడానికి TWINTALK TWINTASKతో కలిసి పనిచేస్తుంది.

TWINTALK మూడు ప్రాథమిక కమాండ్ వర్గాలకు మద్దతు ఇస్తుంది:

• సోకిన పరికరంలో కమాండ్ అమలు
• దాడి చేసేవారి మౌలిక సదుపాయాల నుండి ఫైల్ డౌన్‌లోడ్
• రాజీపడిన సిస్టమ్ నుండి దాడి చేసేవారికి ఫైల్ అప్‌లోడ్

ఈ సామర్థ్యాల ద్వారా, దాడి చేసేవారు సోకిన వాతావరణంపై విస్తృత నియంత్రణను పొందుతారు.

అటాక్ చైన్ టూ: డైరెక్ట్ GHOSTFORM ఎగ్జిక్యూషన్

మొదటి గొలుసులోని బహుళ భాగాలు నిర్వహించే అన్ని విధులను నిర్వహించడానికి రెండవ దాడి గొలుసు GHOSTFORM ను ఉపయోగిస్తుంది. అనేక ఫైళ్ళను అమలు చేయడానికి లేదా DLL సైడ్‌లోడింగ్‌పై ఆధారపడటానికి బదులుగా, ఈ వేరియంట్ పవర్‌షెల్ ఆదేశాలను నేరుగా మెమరీలో అమలు చేస్తుంది.

గుర్తించబడకుండా ఉండటానికి, మాల్వేర్ పేలోడ్ అమలు కావడానికి ముందే అమలును ఆలస్యం చేసే ఒక అదృశ్య విండోస్ ఫారమ్‌ను సృష్టిస్తుంది. అదనంగా, ఈ ప్రచారం బాధితులను హానికరమైన కార్యాచరణను ప్రారంభించడానికి ప్రోత్సహించడానికి సోషల్ ఇంజనీరింగ్ ఆకర్షణలో భాగంగా Google ఫారమ్‌లను ఉపయోగిస్తుంది.

తప్పించుకోవడం మరియు పట్టుదల పద్ధతులు

GHOSTFORM గుర్తింపును తగ్గించడానికి మరియు రాజీపడిన వ్యవస్థలకు దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించడానికి రూపొందించిన బహుళ విధానాలను కలిగి ఉంటుంది. మాల్వేర్ ఉద్దేశపూర్వకంగా దాదాపు కనిపించని విండోస్ ఫారమ్‌ను రూపొందించడం ద్వారా దాని కార్యకలాపాలను ఆలస్యం చేస్తుంది, ఇది అమలును కొనసాగించే ముందు యాదృచ్ఛికంగా నిర్ణయించిన ఆలస్యంతో టైమర్‌ను నడుపుతుంది.

ఇది సిస్టమ్‌లో మాల్వేర్ యొక్క ఒక సందర్భం మాత్రమే నడుస్తుందని నిర్ధారించుకోవడానికి ఒక మ్యూటెక్స్‌ను కూడా సృష్టిస్తుంది మరియు సోకిన యంత్రాలను ట్రాక్ చేయడానికి ఒక ప్రత్యేకమైన బాట్ ఐడెంటిఫైయర్‌ను ఉత్పత్తి చేస్తుంది. ఈ రకమైన రిమోట్ యాక్సెస్ ట్రోజన్‌లను సాధారణంగా అదనపు పేలోడ్‌లను అమలు చేయడానికి, సున్నితమైన డేటా మరియు ఫైల్‌లను దొంగిలించడానికి లేదా బాధితుడి వాతావరణంలో ఇతర హానికరమైన కార్యకలాపాలను నిర్వహించడానికి ఉపయోగిస్తారు.

ప్రచారంతో సాధారణంగా అనుబంధించబడిన కీలక సామర్థ్యాలు:

• అదనపు మాల్వేర్ పేలోడ్‌ల విస్తరణ
• సోకిన పరికరాల నుండి సమాచారం మరియు ఫైళ్ళ దొంగతనం
• పవర్‌షెల్ ద్వారా రిమోట్ కమాండ్ అమలు
• రాజీపడిన వ్యవస్థలలో దీర్ఘకాలిక నిలకడ

క్లిక్‌ఫిక్స్ సోషల్ ఇంజనీరింగ్: హ్యూమన్-ఫోకస్డ్ ఇన్ఫెక్షన్ వెక్టర్

ఈ ప్రచారం మాల్వేర్ డెలివరీపై మాత్రమే ఆధారపడి ఉండదు. ఇది వ్యవస్థలను రాజీ చేయడానికి క్లిక్‌ఫిక్స్ అని పిలువబడే సోషల్ ఇంజనీరింగ్ టెక్నిక్‌ను కూడా కలిగి ఉంటుంది. దాడి చేసేవారు వినియోగదారులను హానికరమైన ఆదేశాలను అమలు చేయడానికి మోసగించడానికి రూపొందించిన నమ్మకమైన నకిలీ వెబ్ పేజీలను సృష్టిస్తారు.

ఉదాహరణలలో మోసపూరిత Cisco Webex సమావేశ ఆహ్వానాలు లేదా చట్టబద్ధంగా కనిపించే మోసపూరిత వెబ్ ఫారమ్‌లు ఉన్నాయి. బాధితులు మాల్వేర్‌ను స్వయంచాలకంగా డౌన్‌లోడ్ చేసి అమలు చేసే ఆదేశాలను అమలు చేయమని సూచించబడతారు, తెలియకుండానే రాజీని ప్రారంభిస్తారు.

మాల్వేర్ మరియు మోసాన్ని కలపడం

ఈ ప్రచారం సాంకేతిక మాల్వేర్ విస్తరణను మానసిక మానిప్యులేషన్‌తో కలిపే సమన్వయ విధానాన్ని ప్రదర్శిస్తుంది. దాడి చేసేవారు WinRAR యుటిలిటీలను పోలి ఉండే హానిచేయని ప్రోగ్రామ్‌ల వలె మారువేషంలో హానికరమైన ఫైల్‌లను పంపిణీ చేస్తారు. తెరిచినప్పుడు, ఫైల్‌లు ఆపరేటింగ్ సిస్టమ్‌లోకి దాచిన మాల్వేర్ భాగాలను ఇంజెక్ట్ చేస్తాయి.

ఇన్‌స్టాల్ చేసిన తర్వాత, వాటిలో ఒక భాగం నేపథ్యంలో నిశ్శబ్దంగా నడుస్తుంది, ఎన్‌క్రిప్ట్ చేసిన సూచనల కోసం దాడి చేసేవారి సర్వర్‌ను కాలానుగుణంగా తనిఖీ చేస్తుంది మరియు వాటిని పవర్‌షెల్ ద్వారా అమలు చేస్తుంది. సమాంతరంగా, క్లిక్‌ఫిక్స్-శైలి దాడులు నకిలీ సర్వేలు, మోసపూరిత సమావేశ ఆహ్వానాలు లేదా మోసపూరిత ఆన్‌లైన్ ఫారమ్‌లపై ఆధారపడి వినియోగదారులను మాల్వేర్ డౌన్‌లోడ్‌లను ప్రేరేపించే ఆదేశాలను అమలు చేయడానికి ఒప్పించబడతాయి.

TWINTASK, TWINTALK మరియు GHOSTFORM వంటి అధునాతన మాల్వేర్ సాధనాలను జాగ్రత్తగా రూపొందించిన సోషల్ ఇంజనీరింగ్ పద్ధతులతో కలపడం ద్వారా, బెదిరింపు నటులు సిస్టమ్ రాజీ యొక్క విజయ రేటును గణనీయంగా పెంచుతారు మరియు సోకిన పరికరాలపై నిరంతర రిమోట్ నియంత్రణను నిర్వహిస్తారు.