حملہ آوروں نے کاؤنٹ لوڈر اور گچیلوڈر بدنیتی پر مبنی ڈاؤن لوڈ تقسیم کرنے کے لئے پائریٹڈ سافٹ ویئر سائٹس اور مشہور ویڈیو پلیٹ فارم کا استعمال شروع کیا۔ اس کی اطلاع اینٹی میل ویئر نے کی ہے۔
تجزیہ کاروں کے مطابق ، موجودہ مہم کاؤنٹلوڈر کے آس پاس تعمیر کی گئی ہے ، جو ایک ماڈیولر ٹول ہے جو ملٹی اسٹیج حملوں کے پہلے مرحلے کے طور پر استعمال ہوتا ہے۔ انفکشن ہونے کے ل you ، آپ کو مقبول سافٹ ویئر کا "پھٹے ہوئے” ورژن کو ڈاؤن لوڈ کرنے کی کوشش کرنے کی ضرورت ہے۔ صارف کو فائل ہوسٹنگ سروس میں ری ڈائریکٹ کیا جاتا ہے ، جس میں ایک آرکائیو ہوتا ہے جس میں اضافی خفیہ کردہ مواد اور پاس ورڈز کے ساتھ دستاویزات ہوتی ہیں۔ ایک بار نکالنے کے بعد ، ایک قابل عمل فائل لانچ کی جاتی ہے ، جسے انسٹالر کے طور پر بھیس بدل کر ریموٹ سرور سے بدنیتی پر مبنی کوڈ ڈاؤن لوڈ کیا جاتا ہے۔
سسٹم میں قدم جمانے کے ل Count ، کاؤنٹلوڈر خود کو ایک ایسے نظام کے عمل کے طور پر چھپاتا ہے جسے کئی سالوں تک اعلی تعدد پر پھانسی دی جاسکتی ہے۔ لوڈر انسٹال کردہ سیکیورٹی سافٹ ویئر کا بھی تجزیہ کرتا ہے ، اور جب یہ انفرادی حلوں کا پتہ لگاتا ہے تو ، اس سے اس کے طرز عمل کو تبدیل کیا جاتا ہے ، جس سے پتہ لگانے کے خطرے کو کم کیا جاتا ہے۔ اگلا ، یہ سسٹم کے بارے میں معلومات اکٹھا کرتا ہے اور حملے کے اگلے مرحلے کو شروع کرنے کی تیاری کرتا ہے۔
ماہرین نوٹ کرتے ہیں کہ کاؤنٹلوڈر کے نئے ورژن نے صلاحیتوں کو بڑھایا ہے ، جس میں مختلف فائل کی اقسام کو لانچ کرنا ، میموری میں کوڈ پر عمل درآمد ، USB ڈرائیوز کے ذریعے فراہمی ، تفصیلی ٹیلی میٹری کا ڈیٹا اکٹھا کرنا ، اور سرگرمی کے نشانات کو مٹانا شامل ہیں۔ ایک دستاویزی معاملے میں ، حتمی پے لوڈ ایک ACR چوری کرنے والا تھا جو حساس ڈیٹا کو چوری کرنے کے لئے ڈیزائن کیا گیا تھا۔
چیک پوائنٹ کے ماہرین نے بدلے میں گچیلوڈر کا استعمال کرتے ہوئے ایک اور بدنیتی پر مبنی مہم کی اطلاع دی ، جو ہیک یوٹیوب اکاؤنٹس کے نیٹ ورک کے ذریعہ تقسیم کیا گیا ہے۔ حملہ آوروں نے مقبول سافٹ ویئر کے لئے بدنیتی پر مبنی "انسٹالرز” کے لنکس کے ساتھ ویڈیوز شائع کیں۔ مجموعی طور پر ، اس طرح کے ایک سو ویڈیوز کی نشاندہی کی گئی ، جن کو مجموعی طور پر 220 ہزار سے زیادہ آراء موصول ہوئے۔ گوگل کے ذریعہ زیادہ تر مواد کو ہٹا دیا گیا ہے۔
گچیلوڈر سیکیورٹی میکانزم کو نظرانداز کرنے ، انتظامی حقوق کی جانچ کرنے اور مائیکروسافٹ ڈیفنڈر اجزاء کو غیر فعال کرنے کی کوشش کرنے کی صلاحیت رکھتا ہے۔ ایک معاملے میں ، اس کا استعمال چوری شدہ رادمانتھیس کو پہنچانے کے لئے کیا گیا تھا۔
