काठमाडौं — साइबर सेक्युरिटी अनुसन्धानकर्ताहरूले हाइज्याक लोडर नामक एक खतरनाक मालवेयरको नयाँ संस्करण पत्ता लगाएका छन्, जसले सङ्क्रमित सिस्टममा लामो समय टिक्न सक्ने क्षमता विकास गर्दै सुरक्षा प्रणालीहरू छल्न नयाँ तरिका अपनाएको देखिएको छ।
जेडस्केलर थ्रेटल्याब्ज का अनुसन्धानकर्ता मुहम्मद इरफान भी ए का अनुसार, यो संस्करणमा कॉल स्ट्याक स्पुफिङ प्रविधि प्रयोग गरिएको छ, जसले एपीआई र सिस्टम कलहरू को वास्तविक स्रोत लुकाउने कार्य गर्दछ। साथै, यसले एन्टि-भीएम जाँच गर्ने नयाँ मोड्युल पनि थपेको छ, जसले मालवेयर विश्लेषण हुने भर्चुअल मेसिन वा स्यान्डबक्स पत्ता लगाउने काम गर्दछ।
२०२३ मा पहिलोपटक देखिएको हाइज्याक लोडर ले दोस्रो चरणको पेलोड — जस्तै गोप्य जानकारी चोर्ने मालवेयर — प्रेषण गर्न प्रयोग गरिन्छ। यसले विभिन्न मोड्युल हरू प्रयोग गरेर सुरक्षा सफ्टवेयरहरू बाइपास गर्न र मालिसियस कोड इन्जेक्ट गर्न सक्ने क्षमता राख्दछ। यो मालवेयर डोआई लोडर, घोस्टपल्स, आईड्याट लोडर र स्याडो ल्याडर का नामले पनि चिनिन्छ।
२०२४ को अक्टोबरमा हर्फाङ ल्याब र इलास्टिक सेक्युरिटी ल्याब्ज ले हाइज्याक लोडर प्रयोग गरेर गरिएको हमला अभियानको विवरण दिएका थिए, जसमा वैध कोड साइनिङ सर्टिफिकेट हरू र कुख्यात क्लिकफिक्स रणनीति प्रयोग भएको देखिएको थियो।
यसपटकको संस्करणमा समावेश गरिएको कॉल स्ट्याक स्पुफिङ प्रविधि हालै कफी लोडर मा पनि देखिएको थियो। यो प्रविधिले ईबीपी पोइन्टर हरूको श्रृङ्खलाबाट स्ट्याक ट्राभर्सल गर्दै नक्कली स्ट्याक फ्रेमहरू बनाउने काम गर्दछ जसले मालिसियस कॉलहरू लुकाउन सहयोग गर्दछ।
यसले पहिलेकै जस्तै हेभेन्स गेट प्रविधि प्रयोग गरेर ६४-बिट डाइरेक्ट सिसकल मार्फत प्रोसेस इन्जेक्सन गर्दछ। साथै, अब यसले अभास्टसर्भिस डट ईएक्सइ नामक प्रोसेसलाई ब्लकलिस्टमा राख्दै कार्य सुरु गर्न ५ सेकेन्ड ढिलाइ गर्दछ। दुई नयाँ मोड्युलहरू — एन्टि भीएम (भर्चुअल मेसिन डिटेक्सन) र मोड टास्क (सेड्युल टास्कमार्फत पर्सिस्टेन्स) पनि थपिएको देखिन्छ।
गिटहब प्रयोग गरेर सञ्चालित नयाँ मालवेयर परिवार शेल्बीको उदय
त्यसैबीच, इलास्टिक सेक्युरिटी ल्याब्ज ले शेल्बी नामक नयाँ मालवेयर परिवारको खुलासा गरेको छ, जसले गिटहब लाई कमाण्ड एन्ड कन्ट्रोल (C2), डाटा चोरी र रिमोट कन्ट्रोलका लागि प्रयोग गर्दछ। यो गतिविधि आरइएफ ८६८५ नामले ट्र्याक गरिएको छ।
हमलाको सुरुवात लक्षित फिसिङ ईमेल बाट हुन्छ, जसमा एउटा जिप फाइल पठाइएको हुन्छ। त्यो फाइलमा रहेको डटनेट बाइनरी ले शेल्बी लोडर (एच्चटीटीपिसर्भिस डट डिएलएल) लाई डिएलएल साइड लोडिङ को माध्यमबाट कार्यान्वयन गर्दछ। यो ईमेल इराकस्थित एक टेलिकम कम्पनीमा पठाइएको थियो, जुन कम्पनीकै नामबाट आएको जस्तो देखिने गरी तयार पारिएको थियो।
शेल्बी लोडर ले गिटहब मा रहेको लाइसेन्स डट टिएक्सटी नामक फाइलबाट ४८-बाइटको विशेष मान लिन्छ, जसको आधारमा एईएस डिक्रिप्सन की तयार गरिन्छ र मुख्य ब्याकडोर पेलोड (एच्चटीटीपिआइ डट डिएलएल) लाई मेमोरी मा लोड गरिन्छ — त्यो पनि डिस्कमा कुनै ट्रेस नराखी।
यसले स्यान्डबक्स डिटेक्सन प्रविधि प्रयोग गरेर भर्चुअल वातावरण पत्ता लगाउँछ र परिणामहरू गिटहब मा पठाउँछ। शेल्बीसीटु ब्याकडोर ले कमाण्ड डट टिएक्सटी फाइलमा भएका निर्देशनहरू अनुसार गिटहबमा फाइल अपलोड/डाउनलोड, डटनेट बाइनरी लोड गर्न, वा पावरशेल कमाण्ड चलाउने काम सक्दछ।
सञ्चार प्रक्रिया पर्सनल एक्सेस टोकन (PAT) को माध्यमबाट चलाइन्छ, जुन बाइनरीमा एम्बेड गरिएको हुन्छ। जसको हातमा त्यो PAT टोकन पर्छ, उसले हमलाकर्ताले पठाएका कमाण्डहरू र पीडितको प्रतिक्रिया हेर्न सक्दछ।
७-ज़िप फाइल प्रयोग गरी स्मोकलोडर फैलाउँदै एमेन्थल लोडर मालवेयर
फिसिङ ईमेलहरूमार्फत भुक्तानीसम्बन्धी लुभाउने विषयवस्तु राखेर पठाइएका ७-ज़िप फाइलहरू मा रहेको एमेन्थल लोडर (वा पिकलाइट) मालवेयरले अर्को खतरनाक मालवेयर स्मोकलोडर फैलाउने माध्यमको रूपमा काम गरिरहेको देखिएको छ।
जीडाटा का अनुसार, यस स्मोकलोडर संस्करणले डटनेट रिएक्टर नामक एक व्यावसायिक प्रोटेक्सन टुल प्रयोग गर्दछ, जुन अबस्फुस्केसन र प्याकिङ को लागि प्रयोग गरिन्छ। विगतमा यसले थेमिडा, एनीग्मा प्रोटेक्टर र कस्टम क्रिप्टरहरू प्रयोग गर्दै आएको थियो। तर अहिले डटनेट रिएक्टर प्रयोग गर्नु अन्य मालवेयर (विशेषतः स्टिलर र लोडर) हरूको चलनसँग मिल्दोजुल्दो देखिन्छ।
