పీక్‌లైట్ డౌన్‌లోడర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు తదుపరి మాల్‌వేర్ దశలను అమలు చేయడానికి రూపొందించిన ఒక నవల డ్రాపర్‌ను కనుగొన్నారు, చివరికి సమాచారాన్ని దొంగిలించేవారు మరియు లోడర్‌లతో విండోస్ సిస్టమ్‌లను లక్ష్యంగా చేసుకున్నారు.

ఈ మెమరీ-మాత్రమే డ్రాపర్ పీక్‌లైట్‌గా గుర్తించబడిన పవర్‌షెల్-ఆధారిత డౌన్‌లోడ్‌ను డీక్రిప్ట్ చేస్తుంది మరియు అమలు చేస్తుంది. ఈ పద్ధతి ద్వారా పంపిణీ చేయబడిన మాల్వేర్ జాతులు లుమ్మా స్టీలర్ , హైజాక్ లోడర్ (దీనిని DOILoader, IDAT లోడర్ లేదా SHADOWLADDER అని కూడా పిలుస్తారు) మరియు CryptBot , ఇవన్నీ మాల్వేర్-యాజ్-ఎ-సర్వీస్ (MaaS) మోడల్‌లో భాగంగా అందించబడతాయి.

ప్రారంభ దాడి వెక్టర్ మరియు అటాక్ చైన్

దాడి గొలుసు Windows షార్ట్‌కట్ (LNK) ఫైల్‌తో ప్రారంభమవుతుంది, ఇది వినియోగదారులు ఆన్‌లైన్‌లో సినిమాల కోసం శోధించినప్పుడు వంటి డ్రైవ్-బై డౌన్‌లోడ్ పద్ధతుల ద్వారా డౌన్‌లోడ్ చేయబడుతుంది. ఈ LNK ఫైల్‌లు పైరేటెడ్ ఫిల్మ్‌ల రూపంలో జిప్ ఆర్కైవ్‌లలో ప్యాక్ చేయబడ్డాయి.

డౌన్‌లోడ్ చేసిన తర్వాత, LNK ఫైల్ అస్పష్టమైన, మెమరీ-మాత్రమే జావాస్క్రిప్ట్ డ్రాపర్‌ని హోస్ట్ చేసే కంటెంట్ డెలివరీ నెట్‌వర్క్ (CDN)కి కనెక్ట్ అవుతుంది. ఈ డ్రాపర్ పీక్‌లైట్ పవర్‌షెల్ డౌన్‌లోడ్ స్క్రిప్ట్‌ను బాధితుడి మెషీన్‌లో అమలు చేస్తుంది, ఇది తదుపరి పేలోడ్‌లను తిరిగి పొందడానికి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను సంప్రదిస్తుంది.

పరిశోధకులు వివిధ LNK ఫైల్ వైవిధ్యాలను గమనించారు, కొందరు చట్టబద్ధమైన mshta.exe బైనరీని అమలు చేయడానికి ఆస్టరిస్క్‌లను (*) వైల్డ్‌కార్డ్‌లుగా ఉపయోగిస్తున్నారు, హానికరమైన కోడ్ (అంటే డ్రాపర్) రిమోట్ సర్వర్ నుండి వివేకంతో అమలు చేయడానికి అనుమతిస్తుంది.

PEAKLIGHT చట్టబద్ధమైన సినిమాల వెనుక దాని బెదిరింపు చర్యను దాచిపెట్టింది

అదేవిధంగా, డ్రాపర్‌లు హెక్స్-ఎన్‌కోడ్ మరియు బేస్64-ఎన్‌కోడ్ పవర్‌షెల్ పేలోడ్‌లను కలిగి ఉన్నట్లు కనుగొనబడింది. PEAKLIGHTని అమలు చేయడానికి ఈ పేలోడ్‌లు అన్‌ప్యాక్ చేయబడ్డాయి, ఇది సోకిన సిస్టమ్‌లో తదుపరి మాల్‌వేర్‌ను అమలు చేయడానికి రూపొందించబడిన సాధనం, అదే సమయంలో చట్టబద్ధమైన చలనచిత్ర ట్రైలర్‌ను డౌన్‌లోడ్ చేస్తుంది, ఇది మోసపూరితంగా ఉండవచ్చు.

PEAKLIGHT బహుళ-దశల అమలు గొలుసులో అస్పష్టమైన PowerShell-ఆధారిత డౌన్‌లోడ్‌గా పనిచేస్తుంది. ఇది నిర్దిష్ట హార్డ్-కోడెడ్ ఫైల్ పాత్‌లలో జిప్ ఆర్కైవ్‌ల కోసం శోధిస్తుంది. ఈ ఆర్కైవ్‌లు కనుగొనబడకపోతే, డౌన్‌లోడ్ చేసినవారు ఆర్కైవ్ ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి మరియు డిస్క్‌లో సేవ్ చేయడానికి CDN సైట్‌ను సంప్రదిస్తారు.

పైరేటెడ్ సినిమాల కోసం శోధిస్తున్న వినియోగదారులను లక్ష్యంగా చేసుకునే మాల్వేర్ ఇదే మొదటి ఉదాహరణ కాదు. జూన్ 2024 ప్రారంభంలో, పరిశోధకులు ఒక అధునాతన ఇన్‌ఫెక్షన్ గొలుసును కనుగొన్నారు, దీని ఫలితంగా చలనచిత్ర డౌన్‌లోడ్ సైట్ నుండి వీడియో ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించిన తర్వాత హైజాక్ లోడర్‌ని మోహరించారు.

డౌన్‌లోడ్ చేసేవారు మరింత ప్రత్యేకమైన మాల్వేర్ కోసం డోర్‌ను తెరవండి

డౌన్‌లోడర్ మాల్వేర్ వ్యక్తులు మరియు సంస్థలకు అనేక ముఖ్యమైన ప్రమాదాలను కలిగిస్తుంది:

• ప్రారంభ రాజీ : డౌన్‌లోడర్ మాల్వేర్ తరచుగా పెద్ద దాడి యొక్క మొదటి దశ. ఇన్‌స్టాల్ చేసిన తర్వాత, ఇది మరింత అధునాతన మాల్వేర్‌తో సహా అదనపు హానికరమైన పేలోడ్‌లను నిశ్శబ్దంగా డౌన్‌లోడ్ చేసి, ఇన్‌స్టాల్ చేయగలదు.
• డేటా థెఫ్ట్ : డౌన్‌లోడ్ చేసే మాల్వేర్ ద్వారా డెలివరీ చేయబడిన అదనపు పేలోడ్‌లు, లాగిన్ ఆధారాలు, ఆర్థిక సమాచారం మరియు వ్యక్తిగత వివరాలు వంటి ప్రైవేట్ డేటాను క్యాప్చర్ చేసే సమాచార దొంగలను కలిగి ఉంటాయి, ఇది గుర్తింపు దొంగతనం మరియు ఆర్థిక నష్టానికి దారి తీస్తుంది.
• సిస్టమ్ హైజాకింగ్ : కొన్ని డౌన్‌లోడ్ చేసే మాల్వేర్ రిమోట్ యాక్సెస్ సాధనాలు లేదా బ్యాక్‌డోర్‌లను అమలు చేయడానికి రూపొందించబడింది, దాడి చేసేవారు సోకిన సిస్టమ్‌పై నియంత్రణను పొందేందుకు వీలు కల్పిస్తుంది. ఇది కార్పొరేట్ నెట్‌వర్క్‌లకు అనధికారిక యాక్సెస్, డేటా ఉల్లంఘనలు మరియు మరింత సిస్టమ్ రాజీకి దారి తీస్తుంది.
• Ransomware డిప్లాయ్‌మెంట్ : ransomwareని ఇన్‌స్టాల్ చేయడానికి డౌన్‌లోడర్ మాల్వేర్ ఉపయోగించబడవచ్చు, ఇది బాధితుల ఫైల్‌లను గుప్తీకరించగలదు మరియు వారి విడుదల కోసం విమోచన చెల్లింపును డిమాండ్ చేస్తుంది. ఇది గణనీయమైన డేటా నష్టం మరియు కార్యాచరణ అంతరాయానికి దారి తీస్తుంది.
• పెరిగిన దుర్బలత్వం : ఒకసారి ఇన్‌స్టాల్ చేసిన తర్వాత, డౌన్‌లోడ్ చేసే మాల్వేర్ సిస్టమ్ రక్షణను బలహీనపరుస్తుంది మరియు ఇతర రకాల మాల్వేర్‌లను ఉపయోగించుకునే దుర్బలత్వాలను సృష్టిస్తుంది. ఇది దాడి చేసేవారికి మరింత ప్రమాదకరమైన లేదా నిరంతర బెదిరింపులను మోహరించడం సులభం చేస్తుంది.
• నెట్‌వర్క్ ప్రచారం : డౌన్‌లోడ్ చేసే మాల్వేర్ నెట్‌వర్క్‌లలో వ్యాప్తి చెందుతుంది, అదే వాతావరణంలో ఉన్న ఇతర పరికరాలు మరియు సిస్టమ్‌లకు సోకుతుంది. ఇది విస్తృతమైన నష్టాన్ని కలిగిస్తుంది మరియు నివారణ ప్రయత్నాల సంక్లిష్టతను పెంచుతుంది.
• రిసోర్స్ డ్రెయిన్ : మాల్వేర్ CPU మరియు బ్యాండ్‌విడ్త్ వంటి సిస్టమ్ వనరులను వినియోగిస్తుంది, ఇది పనితీరు క్షీణించడం మరియు సంభావ్య సేవా అంతరాయాలకు దారితీస్తుంది. ఇది ఉత్పాదకతను ప్రభావితం చేస్తుంది మరియు కార్యాచరణ ఖర్చులను పెంచుతుంది.
• చట్టపరమైన మరియు సమ్మతి ప్రమాదాలు : సోకిన సంస్థలు చట్టపరమైన మరియు సమ్మతి సమస్యలను ఎదుర్కోవచ్చు, ముఖ్యంగా డేటా ఉల్లంఘనలో సున్నితమైన లేదా నియంత్రిత సమాచారం ఉంటే. ఇది జరిమానాలు, చట్టపరమైన చర్యలు మరియు ప్రతిష్టకు నష్టం కలిగించవచ్చు.

మొత్తంమీద, డౌన్‌లోడర్ మాల్వేర్ తదుపరి దాడులను సులభతరం చేయడంలో మరియు ప్రభావిత సిస్టమ్‌లు మరియు నెట్‌వర్క్‌ల భద్రత మరియు సమగ్రతను ప్రభావితం చేయడంలో దాని పాత్ర కారణంగా తీవ్రమైన ముప్పుగా ఉంది.