Soxta o‘yin ortidagi yashirin tahdid: Windows foydalanuvchilariga qarshi xRAT zararli dasturi

So‘nggi paytlarda kiberjinoyatchilar tomonidan qo‘llanilayotgan yangi va xavfli zararli dastur kampaniyasi axborot xavfsizligi mutaxassislarini jiddiy tashvishga solmoqda. AhnLab Security Intelligence Center (ASEC) tomonidan aniqlangan ushbu tahdid xRAT (QuasarRAT) nomi bilan tanilgan bo‘lib, u Windows operatsion tizimi foydalanuvchilarini nishonga olgan. Eng xavotirli jihati shundaki, zararli dastur kattalar uchun mo‘ljallangan o‘yinlar va turli ko‘ngilochar kontent niqobi ostida tarqatilmoqda.

Ishonchni suiiste’mol qilishga asoslangan hujum usuli

Mazkur hujumlar asosan Janubiy Koreyada keng tarqalgan webhard — fayl almashish xizmatlari orqali amalga oshirilgan. Ushbu platformalar ommabopligi va ochiqligi sababli hujumchilar uchun qulay vositaga aylangan. Kiberjinoyatchilar jozibador nomlangan arxiv fayllarni yuklab, ularni o‘yin yoki kattalar kontenti sifatida taqdim etishmoqda. Tashqi tomondan mutlaqo zararsiz ko‘ringan ushbu fayllar aslida murakkab tuzilgan zararli dastur komponentlarini o‘z ichiga oladi.

Foydalanuvchi faylni yuklab olib, ishga tushirgan paytda hech qanday shubhali holat sezmaydi. Aynan mana shu ijtimoiy muhandislik (social engineering) usuli hujumlarning muvaffaqiyatli bo‘lishiga sabab bo‘lmoqda.

Muvofiqlashtirilgan va tizimli hujum kampaniyasi

ASEC tahlillariga ko‘ra, ushbu zararli fayllar bir nechta turli nomlar ostida tarqatilgan bo‘lsa-da, ularning ichki tuzilmasi va yuklamasi deyarli bir xil bo‘lgan. Bu esa hujumlar ortida bitta yoki bir guruh muvofiqlashtirilgan tahdid subyektlari turganidan dalolat beradi. Ko‘plab e’lonlar o‘chirib yuborilganiga qaramay, mutaxassislar zararli yuklamalar o‘rtasidagi o‘xshashlikni aniq tasdiqlashga muvaffaq bo‘lishgan.

Yuqtirish zanjiri va yashirin faoliyat mexanizmi

Zararli dastur odatda ZIP formatdagi arxiv ko‘rinishida tarqatiladi. Arxiv ichida Game.exe, Data1.Pak, Data2.Pak va Data3.Pak kabi fayllar mavjud bo‘ladi. Foydalanuvchi Game.exe faylini ishga tushirganda, u haqiqiy o‘yin emas, balki zararli jarayonlarni boshlovchi launcher vazifasini bajaradi.

Jarayon davomida:

• Data1.Pak fayli Play.exe nomi bilan tizim kataloglariga nusxalanadi;
• Data2.Pak va Data3.Pak esa Windows Explorer joylashgan katalogga GoogleUpdate.exe va WinUpdate.db nomlari ostida joylashtiriladi.

Keyingi bosqichda GoogleUpdate.exe ishga tushadi va WinUpdate.db faylini topib, AES shifrlash algoritmi yordamida oxirgi zararli kodni ochadi. Ushbu kod explorer.exe jarayoniga yuboriladi (inject qilinadi), bu esa zararli dasturga yuqori darajadagi huquqlar bilan yashirin faoliyat olib borish imkonini beradi.

Kuzatuvdan yashirinish va to‘liq nazorat

Eng xavfli jihatlardan biri — zararli dastur Event Tracing for Windows (ETW) mexanizmini faol ravishda o‘chirib qo‘yishidir. Buning uchun EtwEventWrite funksiyasi buziladi, natijada tizim jurnalida zararli faoliyat qayd etilmaydi. Bu esa antivirus va xavfsizlik monitoring vositalarining aniqlash imkoniyatlarini sezilarli darajada pasaytiradi.

Yakuniy bosqichda ishga tushgan xRAT foydalanuvchi tizimi ustidan to‘liq masofaviy nazorat o‘rnatadi. U quyidagi xavfli imkoniyatlarga ega:

• tizim va foydalanuvchi ma’lumotlarini yig‘ish;
• klaviatura bosimlarini kuzatish (keylogging);
• fayllarni yashirincha yuklab olish va uzatish;
• buyruqlarni masofadan bajarish.

Xulosa va himoya bo‘yicha tavsiyalar

xRAT zararli dasturi zamonaviy kiberhujumlarning naqadar murakkab va ayyorlashganini yaqqol namoyon etadi. Oddiy o‘yin yoki ko‘ngilochar kontent ortida foydalanuvchi shaxsiy ma’lumotlari, tizim xavfsizligi va hatto butun tarmoq infratuzilmasi xavf ostida qolishi mumkin.

Axborot xavfsizligi mutaxassislari quyidagi choralarni qat’iy tavsiya etishadi:

• dasturlarni faqat rasmiy va ishonchli manbalardan yuklab olish;
• noma’lum fayl almashish saytlaridan foydalanishda ehtiyotkor bo‘lish;
• zamonaviy antivirus va EDR yechimlaridan foydalanish;
• operatsion tizim va dasturiy ta’minotni doimiy yangilab borish.

Unutmang: bitta beparvo bosilgan tugma — butun tizim xavfsizligining buzilishiga olib kelishi mumkin. Kiberxavfsizlik har bir foydalanuvchining ongli tanlovidan boshlanadi.