ਕਰੈਸ਼ਫਿਕਸ ਕਰੋਮ ਐਕਸਟੈਂਸ਼ਨ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਸਰਗਰਮ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ KongTuke ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਇੱਕ ਵਿਗਿਆਪਨ ਬਲੌਕਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ ਇੱਕ ਖਤਰਨਾਕ Google Chrome ਐਕਸਟੈਂਸ਼ਨ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਐਕਸਟੈਂਸ਼ਨ ਜਾਣਬੁੱਝ ਕੇ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਕਰੈਸ਼ ਕਰਨ ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ ClickFix-ਸ਼ੈਲੀ ਦੀ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੁਆਰਾ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਤਕਨੀਕ ਦੇ ਇਸ ਨਵੀਨਤਮ ਵਿਕਾਸ ਨੂੰ CrashFix ਕੋਡਨੇਮ ਦਿੱਤਾ ਗਿਆ ਹੈ ਅਤੇ ਅੰਤ ਵਿੱਚ ModeloRAT ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

KongTuke, ਜਿਸਨੂੰ 404 TDS, Chaya_002, LandUpdate808, ਅਤੇ TAG-124 ਵਜੋਂ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਟ੍ਰੈਫਿਕ ਵੰਡ ਪ੍ਰਣਾਲੀ (TDS) ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਪੀੜਤ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਦਾ ਹੈ ਅਤੇ ਚੁਣੇ ਹੋਏ ਟੀਚਿਆਂ ਨੂੰ ਖਤਰਨਾਕ ਪੇਲੋਡ ਡਿਲੀਵਰੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ। ਫਿਰ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਦੂਜੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ, ਜਿਸ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ ਆਪਰੇਟਰਾਂ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਨੂੰ ਵੇਚਿਆ ਜਾਂ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਜੋ ਸੈਕੰਡਰੀ-ਪੜਾਅ ਦੇ ਸਮਝੌਤੇ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾ ਸਕੇ।

TAG-124 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਲਾਭ ਉਠਾਉਣ ਵਾਲੇ ਧਮਕੀ ਸਮੂਹਾਂ ਵਿੱਚ Rhysida ransomware, Interlock ransomware, ਅਤੇ TA866 (Asylum Ambuscade) ਸ਼ਾਮਲ ਹਨ। ਅਪ੍ਰੈਲ 2025 ਦੀ ਇੱਕ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ SocGholish ਅਤੇ D3F@ck ਲੋਡਰ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ।

Chrome ਵੈੱਬ ਸਟੋਰ ਤੋਂ ਸਮਝੌਤਾ ਤੱਕ

ਦਸਤਾਵੇਜ਼ੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ, ਪੀੜਤਾਂ ਨੇ ਇੱਕ ਐਡ ਬਲੌਕਰ ਲਈ ਔਨਲਾਈਨ ਖੋਜ ਕੀਤੀ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਇਸ਼ਤਿਹਾਰ ਦਿੱਤਾ ਗਿਆ ਜੋ ਉਹਨਾਂ ਨੂੰ ਸਿੱਧੇ ਅਧਿਕਾਰਤ ਕਰੋਮ ਵੈੱਬ ਸਟੋਰ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਸੀ।

'NexShield - Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) ਨਾਮਕ ਇਸ ਐਕਸਟੈਂਸ਼ਨ ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ 'ਅੰਤਮ ਗੋਪਨੀਯਤਾ ਢਾਲ' ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਜੋ ਇਸ਼ਤਿਹਾਰਾਂ, ਟਰੈਕਰਾਂ, ਮਾਲਵੇਅਰ ਅਤੇ ਘੁਸਪੈਠ ਕਰਨ ਵਾਲੀ ਵੈੱਬ ਸਮੱਗਰੀ ਨੂੰ ਬਲੌਕ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ। ਇਸਨੂੰ ਹਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ, ਇਸਨੇ ਘੱਟੋ-ਘੱਟ 5,000 ਡਾਊਨਲੋਡ ਇਕੱਠੇ ਕੀਤੇ।

ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ, ਇਹ ਐਕਸਟੈਂਸ਼ਨ ਇੱਕ ਜਾਇਜ਼ ਐਡ-ਬਲਾਕਿੰਗ ਐਕਸਟੈਂਸ਼ਨ ਦਾ ਲਗਭਗ ਇੱਕੋ ਜਿਹਾ ਕਲੋਨ ਸੀ। ਹਾਲਾਂਕਿ, ਜਾਣੇ-ਪਛਾਣੇ ਇੰਟਰਫੇਸ ਦੇ ਹੇਠਾਂ, ਇਸਨੂੰ ਇੱਕ ਮਨਘੜਤ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ ਕਿਹਾ ਗਿਆ ਸੀ ਕਿ ਬ੍ਰਾਊਜ਼ਰ 'ਅਸਾਧਾਰਨ ਤੌਰ 'ਤੇ ਰੁਕ ਗਿਆ ਹੈ' ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਜਾਅਲੀ ਸਕੈਨ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦਾ ਹੈ।

ਨਿਰਮਾਣ ਟਰੱਸਟ ਲਈ ਇੱਕ ਕਰੈਸ਼ ਇੰਜੀਨੀਅਰਿੰਗ

ਜੇਕਰ ਉਪਭੋਗਤਾ ਸਕੈਨ ਚਲਾਉਣ ਲਈ ਕਲਿੱਕ ਕਰਦਾ ਹੈ, ਤਾਂ ਐਕਸਟੈਂਸ਼ਨ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਖੋਲ੍ਹਣ ਅਤੇ ਕਲਿੱਪਬੋਰਡ 'ਤੇ ਪਹਿਲਾਂ ਹੀ ਕਾਪੀ ਕੀਤੀ ਗਈ ਕਮਾਂਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਜਿਵੇਂ ਹੀ ਇਹ ਹੋਇਆ, ਐਕਸਟੈਂਸ਼ਨ ਨੇ ਜਾਣਬੁੱਝ ਕੇ ਇੱਕ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਵਾਲਾ ਰੁਟੀਨ ਸ਼ੁਰੂ ਕੀਤਾ ਜਿਸਨੇ ਇੱਕ ਅਨੰਤ ਲੂਪ ਰਾਹੀਂ ਬੇਅੰਤ ਰਨਟਾਈਮ ਪੋਰਟ ਕਨੈਕਸ਼ਨ ਬਣਾਏ, ਉਸੇ ਕਦਮ ਨੂੰ ਇੱਕ ਅਰਬ ਵਾਰ ਦੁਹਰਾਇਆ।

ਇਸ ਸਰੋਤ ਥਕਾਵਟ ਕਾਰਨ ਬਹੁਤ ਜ਼ਿਆਦਾ ਮੈਮੋਰੀ ਖਪਤ ਹੋਈ, ਜਿਸ ਨਾਲ ਬ੍ਰਾਊਜ਼ਰ ਹੌਲੀ, ਗੈਰ-ਜਵਾਬਦੇਹ ਹੋ ਗਿਆ, ਅਤੇ ਅੰਤ ਵਿੱਚ ਕਰੈਸ਼ ਹੋ ਗਿਆ। ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਅਸਥਿਰਤਾ ਕੋਈ ਮਾੜਾ ਪ੍ਰਭਾਵ ਨਹੀਂ ਸੀ, ਇਹ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਟਰਿੱਗਰ ਸੀ।

ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਐਕਸਟੈਂਸ਼ਨ ਨੇ nexsnield[.]com 'ਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ ਪਛਾਣਕਰਤਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਪੀੜਤ ਟਰੈਕਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ। ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ 60 ਮਿੰਟਾਂ ਲਈ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਵਿੱਚ ਦੇਰੀ ਹੋਈ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਸਨੂੰ ਹਰ 10 ਮਿੰਟਾਂ ਵਿੱਚ ਦੁਬਾਰਾ ਚਲਾਇਆ ਗਿਆ।

DoS ਰੁਟੀਨ ਲਾਂਚ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਐਕਸਟੈਂਸ਼ਨ ਨੇ ਸਥਾਨਕ ਸਟੋਰੇਜ ਵਿੱਚ ਇੱਕ ਟਾਈਮਸਟੈਂਪ ਸਟੋਰ ਕੀਤਾ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਨੇ ਜ਼ਬਰਦਸਤੀ ਛੱਡਿਆ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕੀਤਾ, ਤਾਂ ਇੱਕ ਸਟਾਰਟਅੱਪ ਹੈਂਡਲਰ ਨੇ ਇਸ ਮੁੱਲ ਦੀ ਜਾਂਚ ਕੀਤੀ। ਜੇਕਰ ਮੌਜੂਦ ਹੋਵੇ, ਤਾਂ CrashFix ਪੌਪ-ਅੱਪ ਦਿਖਾਈ ਦਿੱਤਾ ਅਤੇ ਫਿਰ ਟਾਈਮਸਟੈਂਪ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ, ਜਿਸ ਨਾਲ ਇਹ ਭਰਮ ਪੈਦਾ ਹੋਇਆ ਕਿ ਚੇਤਾਵਨੀ ਕਰੈਸ਼ ਦਾ ਨਤੀਜਾ ਸੀ ਨਾ ਕਿ ਇਸਦੇ ਕਾਰਨ ਦਾ।

DoS ਰੁਟੀਨ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਸੀ ਜਦੋਂ ਤਿੰਨ ਸ਼ਰਤਾਂ ਪੂਰੀਆਂ ਹੁੰਦੀਆਂ ਸਨ: ਪੀੜਤ UUID ਮੌਜੂਦ ਸੀ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨੇ ਸਫਲਤਾਪੂਰਵਕ ਜਵਾਬ ਦਿੱਤਾ ਸੀ, ਅਤੇ ਪੌਪ-ਅੱਪ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਵਾਰ ਖੋਲ੍ਹਿਆ ਅਤੇ ਬੰਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਤਰਕ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਓਪਰੇਟਰ ਪੇਲੋਡ ਲੂਪ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਰਗਰਮ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ ਚਾਹੁੰਦੇ ਸਨ।

ਨਤੀਜਾ ਇੱਕ ਸਵੈ-ਨਿਰਭਰ ਚੱਕਰ ਸੀ। ਫ੍ਰੀਜ਼ ਤੋਂ ਬਾਅਦ ਹਰ ਜ਼ਬਰਦਸਤੀ ਮੁੜ ਚਾਲੂ ਕਰਨ ਨਾਲ ਜਾਅਲੀ ਚੇਤਾਵਨੀ ਦੁਬਾਰਾ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦੀ ਸੀ। ਜੇਕਰ ਐਕਸਟੈਂਸ਼ਨ ਸਥਾਪਤ ਰਹਿੰਦਾ ਹੈ, ਤਾਂ ਕਰੈਸ਼ ਵਿਵਹਾਰ ਦਸ ਮਿੰਟਾਂ ਬਾਅਦ ਮੁੜ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦਾ ਹੈ।

ਉਲਝਾਉਣਾ, ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ, ਅਤੇ ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣਾ

ਨਕਲੀ ਪੌਪ-ਅੱਪ ਨੇ ਕਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਉਪਾਅ ਲਾਗੂ ਕੀਤੇ, ਸੱਜਾ-ਕਲਿੱਕ ਸੰਦਰਭ ਮੀਨੂ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੱਤਾ ਅਤੇ ਕੀਬੋਰਡ ਸ਼ਾਰਟਕੱਟਾਂ ਨੂੰ ਬਲੌਕ ਕੀਤਾ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਡਿਵੈਲਪਰ ਟੂਲਸ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ।

CrashFix ਕਮਾਂਡ ਨੇ 199.217.98[.]108 ਤੋਂ ਸੈਕੰਡਰੀ-ਸਟੇਜ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਜਾਇਜ਼ Windows ਉਪਯੋਗਤਾ finger.exe ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ। KongTuke ਦੁਆਰਾ ਫਿੰਗਰ ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਪਹਿਲਾਂ ਦਸੰਬਰ 2025 ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਦਰਜ ਕੀਤੀ ਗਈ ਸੀ।

ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਪੇਲੋਡ ਇੱਕ PowerShell ਕਮਾਂਡ ਸੀ ਜਿਸਨੇ ਇੱਕ ਵਾਧੂ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕੀਤੀ, ਜਿਸਨੇ Base64 ਏਨਕੋਡਿੰਗ ਅਤੇ XOR ਓਪਰੇਸ਼ਨਾਂ ਦੀਆਂ ਕਈ ਪਰਤਾਂ ਰਾਹੀਂ ਆਪਣੀ ਸਮੱਗਰੀ ਨੂੰ ਛੁਪਾਇਆ, ਜੋ ਕਿ SocGholish ਮੁਹਿੰਮਾਂ ਨਾਲ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਜੁੜੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਡੀਕ੍ਰਿਪਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸਕ੍ਰਿਪਟ ਨੇ 50 ਤੋਂ ਵੱਧ ਜਾਣੇ-ਪਛਾਣੇ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਅਤੇ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਸੂਚਕਾਂ ਲਈ ਸਰਗਰਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸਕੈਨ ਕੀਤਾ ਅਤੇ ਜੇਕਰ ਕੋਈ ਪਾਇਆ ਗਿਆ ਤਾਂ ਤੁਰੰਤ ਬੰਦ ਕਰ ਦਿੱਤਾ ਗਿਆ। ਇਸਨੇ ਇਹ ਵੀ ਮੁਲਾਂਕਣ ਕੀਤਾ ਕਿ ਕੀ ਸਿਸਟਮ ਡੋਮੇਨ-ਜੁਆਇਨ ਕੀਤਾ ਗਿਆ ਸੀ ਜਾਂ ਇੱਕ ਸਟੈਂਡਅਲੋਨ ਵਰਕਗਰੁੱਪ ਦਾ ਹਿੱਸਾ ਸੀ, ਫਿਰ ਉਸੇ ਸਰਵਰ ਨੂੰ ਇੱਕ HTTP POST ਬੇਨਤੀ ਵਾਪਸ ਭੇਜੀ ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਸੀ:

• ਇੰਸਟਾਲ ਕੀਤੇ ਐਂਟੀਵਾਇਰਸ ਉਤਪਾਦਾਂ ਦੀ ਸੂਚੀ
• ਇੱਕ ਹੋਸਟ ਵਰਗੀਕਰਣ ਫਲੈਗ: ਸਟੈਂਡਅਲੋਨ ਸਿਸਟਮਾਂ ਲਈ 'ABCD111' ਅਤੇ ਡੋਮੇਨ-ਜੁਆਇਨਡ ਮਸ਼ੀਨਾਂ ਲਈ 'BCDA222'।

ModeloRAT: ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ

ਜੇਕਰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਨੂੰ ਡੋਮੇਨ-ਜੁਆਇਨਡ ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸੰਕਰਮਣ ਲੜੀ ਮਾਡਲੋਆਰਏਟੀ, ਇੱਕ ਪਾਈਥਨ-ਅਧਾਰਿਤ ਵਿੰਡੋਜ਼ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਸਮਾਪਤ ਹੁੰਦੀ ਹੈ। ਮਾਲਵੇਅਰ 170.168.103[.]208 ਜਾਂ 158.247.252[.]178 'ਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਨਾਲ RC4-ਏਨਕ੍ਰਿਪਟਡ ਚੈਨਲਾਂ 'ਤੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।

ModeloRAT ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਰਾਹੀਂ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਬਾਈਨਰੀ, DLL, ਪਾਈਥਨ ਸਕ੍ਰਿਪਟਾਂ, ਅਤੇ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਬਿਲਟ-ਇਨ ਲਾਈਫਸਾਈਕਲ ਕੰਟਰੋਲ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਜੋ ਓਪਰੇਟਰਾਂ ਨੂੰ ਸਮਰਪਿਤ ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਮਪਲਾਂਟ ਨੂੰ ਰਿਮੋਟਲੀ ਅਪਡੇਟ ਕਰਨ ਜਾਂ ਇਸਨੂੰ ਖਤਮ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।

RAT ਇੱਕ ਬਹੁ-ਪੱਧਰੀ ਬੀਕਨਿੰਗ ਰਣਨੀਤੀ ਲਾਗੂ ਕਰਦਾ ਹੈ ਜੋ ਵਿਵਹਾਰਕ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ:

• ਆਮ ਹਾਲਤਾਂ ਵਿੱਚ, ਇਹ ਹਰ 300 ਸਕਿੰਟਾਂ ਵਿੱਚ ਬੀਕਨ ਕਰਦਾ ਹੈ।
• ਜਦੋਂ ਸਰਵਰ ਦੁਆਰਾ ਐਕਟਿਵ ਮੋਡ ਵਿੱਚ ਬਦਲਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਸੰਰਚਨਾਯੋਗ ਅੰਤਰਾਲ 'ਤੇ ਹਮਲਾਵਰ ਢੰਗ ਨਾਲ ਪੋਲ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ 150 ਮਿਲੀਸਕਿੰਟ ਤੱਕ ਡਿਫੌਲਟ ਹੁੰਦਾ ਹੈ।
• ਲਗਾਤਾਰ ਛੇ ਸੰਚਾਰ ਅਸਫਲਤਾਵਾਂ ਤੋਂ ਬਾਅਦ, ਇਹ 900-ਸਕਿੰਟ ਦੇ ਅੰਤਰਾਲਾਂ 'ਤੇ ਵਾਪਸ ਆ ਜਾਂਦਾ ਹੈ।
• ਇੱਕ ਵਾਰ ਅਸਫਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਸਟੈਂਡਰਡ ਟਾਈਮਿੰਗ 'ਤੇ ਵਾਪਸ ਆਉਣ ਤੋਂ ਪਹਿਲਾਂ 150 ਸਕਿੰਟਾਂ ਬਾਅਦ ਦੁਬਾਰਾ ਜੁੜਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।

ਇਹ ਅਨੁਕੂਲ ਤਰਕ ModeloRAT ਨੂੰ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਵਿੱਚ ਰਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਜਦੋਂ ਕਿ ਲੋੜ ਪੈਣ 'ਤੇ ਤੇਜ਼ ਆਪਰੇਟਰ ਇੰਟਰੈਕਸ਼ਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

ਇੱਕ ਦੋ-ਟਰੈਕ ਇਨਫੈਕਸ਼ਨ ਰਣਨੀਤੀ

ਜਦੋਂ ਕਿ ਡੋਮੇਨ-ਜੁਆਇਨਡ ਸਿਸਟਮਾਂ 'ਤੇ ModeloRAT ਦੀ ਤੈਨਾਤੀ ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਅਤੇ ਡੂੰਘੇ ਨੈੱਟਵਰਕ ਪ੍ਰਵੇਸ਼ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦਾ ਜ਼ੋਰਦਾਰ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ, ਸਟੈਂਡਅਲੋਨ ਮਸ਼ੀਨਾਂ ਨੂੰ ਇੱਕ ਵੱਖਰੇ ਮਲਟੀ-ਸਟੇਜ ਕ੍ਰਮ ਰਾਹੀਂ ਰੂਟ ਕੀਤਾ ਗਿਆ ਸੀ। ਉਨ੍ਹਾਂ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨੇ ਅੰਤ ਵਿੱਚ 'ਟੈਸਟ ਪੇਲੋਡ!!!!' ਸੁਨੇਹੇ ਨਾਲ ਜਵਾਬ ਦਿੱਤਾ, ਜੋ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਸਮਾਨਾਂਤਰ ਇਨਫੈਕਸ਼ਨ ਮਾਰਗ ਅਜੇ ਵੀ ਵਿਕਾਸ ਅਧੀਨ ਹੋ ਸਕਦਾ ਹੈ।

ਵੱਡੀ ਤਸਵੀਰ: ਡਿਜ਼ਾਈਨ ਦੁਆਰਾ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ

KongTuke ਦੀ CrashFix ਮੁਹਿੰਮ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਆਧੁਨਿਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਇੰਜੀਨੀਅਰਡ ਕੰਟਰੋਲ ਲੂਪ ਵਿੱਚ ਸੁਧਾਰ ਰਹੇ ਹਨ। ਇੱਕ ਭਰੋਸੇਮੰਦ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟ ਦੀ ਨਕਲ ਕਰਕੇ, ਜਾਣਬੁੱਝ ਕੇ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਅਸਥਿਰ ਕਰਕੇ, ਅਤੇ ਫਿਰ ਇੱਕ ਨਕਲੀ ਫਿਕਸ ਪੇਸ਼ ਕਰਕੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਉਪਭੋਗਤਾ ਦੀ ਨਿਰਾਸ਼ਾ ਨੂੰ ਪਾਲਣਾ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ।

ਇਹ ਓਪਰੇਸ਼ਨ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ, ਭਰੋਸੇਮੰਦ ਬਾਜ਼ਾਰਾਂ, ਅਤੇ ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣ ਵਾਲੇ ਔਜ਼ਾਰਾਂ ਨੂੰ ਇੱਕ ਲਚਕੀਲੇ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜੋ ਕਿ ਸਿਰਫ਼ ਚੋਰੀ-ਛਿਪੇ ਹੀ ਨਹੀਂ, ਸਗੋਂ ਪੀੜਤ ਨੂੰ ਵਾਰ-ਵਾਰ ਹਮਲੇ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਕੇ ਬਣਾਈ ਰਹਿੰਦੀ ਹੈ।