سائبر سکیورٹی ریسرچرز نے ایک نئی راسٹ میں لکھی ہوئی بیک ڈور مَلویئر کا انکشاف کیا ہے جس کا نام ChaosBot ہے۔ یہ آپریٹرز کو متاثرہ میزبانوں پر ری کونائسنس اور مرضی کے مطابق کمانڈز چلانے کی صلاحیت دیتی ہے۔
کینیڈین سکیورٹی کمپنی eSentire نے پچھلے ہفتے ایک تکنیکی رپورٹ میں کہا کہ خطرہ ساز فریقین نے ایسے کمپرو مائز کردہ اسناد استعمال کیں جو Cisco VPN اور ایک اوور پرِوِلِجڈ Active Directory اکاؤنٹ جس کا نام serviceaccount تھا، اس سے میپ تھیں۔ انہوں نے کہا کہ اس کمپرو مائز اکاؤنٹ کو استعمال کرتے ہوئے انہوں نے WMI کے ذریعے نیٹ ورک میں موجود سسٹمز پر ریموٹ کمانڈز چلائیں، جس سے ChaosBot کی تعیناتی اور اجرا ممکن ہوا۔
eSentire کے مطابق کمپنی نے یہ مَلویئر ستمبر 2025 کے آخر میں ایک فنانشل سروسز کسٹمر کے ماحول میں پہلی بار دریافت کیا۔
ChaosBot کی ایک نمایاں خصوصیت Discord کو کمانڈ اینڈ کنٹرول کے طور پر غلط استعمال کرنا ہے۔ اس کا نام اس ڈسکارڈ پروفائل سے آیا ہے جو اس خطرہ ساز فریق نے برقرار رکھا تھا۔ یہ آپریٹر اپنے آن لائن مونیکر chaos_00019 کے تحت ڈسکارڈ پر پروفائل رکھتا ہے اور متاثرہ ڈیوائسز کو ریموٹ کمانڈز بھیجتا ہے۔ ایک دوسرا ڈسکارڈ اکاؤنٹ جسے C2 آپریشنز کے لئے جوڑا گیا ہے وہ lovebb0024 ہے۔
متعلقہ ملاحظہ یہ بھی ہے کہ مَلویئر فشنگ پیغامات میں مضر ونڈوز شارٹ کٹ فائل LNK استعمال کرکے بھی تقسیم کی گئی ہے۔ اگر پیغام وصول کنندہ وہ LNK فائل کھول دے تو ایک PowerShell کمانڈ چل کر ChaosBot کو ڈاؤن لوڈ اور اجرا کرتی ہے، جبکہ ایک نقلی PDF دکھائی جاتی ہے جو State Bank of Vietnam کی جائز خط و کتابت کی صورت دکھا کر توجہ ہٹاتی ہے۔
پے لوڈ ایک مضر DLL ہے جس کا نام msedge_elf.dll ہے، جسے Microsoft Edge بائنری identity_helper.exe کے ذریعے سائیڈ لوڈ کیا جاتا ہے۔ اس کے بعد یہ سسٹم کا جائرہ کرتا ہے اور ایک فاسٹ ریورس پروکسی FRP ڈاؤن لوڈ کرتا ہے تاکہ نیٹ ورک میں ایک ریورس پروکسی کھول کر مستقل رسائی برقرار رکھی جا سکے۔
خطرہ ساز فریقین نے مَلویئر کو Visual Studio Code Tunnel سروس کو اضافی بیک ڈور کے طور پر ترتیب دینے کی کوشش بھی کی، مگر وہ ناکام رہے۔ تاہم مَلویئر کا بنیادی کام متاثرہ کمپیوٹر کے نام کے ساتھ ایک ڈسکارڈ چینل سے بات چیت کرنا ہے تاکہ مزید ہدایات وصول کی جائیں۔
مدد کردہ کمانڈز میں شامل ہیں
* shell، پاور شیل کے ذریعے شیل کمانڈز چلانے کے لئے
* scr، اسکرین شاٹس لینے کے لئے
* download، متاثرہ ڈیوائس سے فائل ڈاؤن لوڈ کرنے کے لئے
* upload، فائل کو ڈسکارڈ چینل پر اپلوڈ کرنے کے لئے
eSentire نے کہا کہ ChaosBot کی نئی اقسام ETW Event Tracing for Windows اور ورچوئل مشینز سے بچنے کے لئے ایویژن تکنیکیں استعمال کرتی ہیں۔ پہلی تکنیک میں ntdll!EtwEventWrite کے پہلے چند انسٹرکشنز میں تبدیلی کی جاتی ہے تاکہ وہ اثر انداز نہ ہو۔ دوسری تکنیک میں سسٹم کے MAC ایڈریسز کو VMware اور VirtualBox کے معروف VM MAC پری فکسز سے چیک کیا جاتا ہے۔ اگر میل کھا جائے تو مَلویئر خود بند ہو جاتا ہے۔
Chaos رینسم ویئر میں تباہ کن اور کلِپ بورڈ ہائی جیکنگ خصوصیات
یہ افشا اسی دوران آئیں جب Fortinet FortiGuard Labs نے Chaos کے ایک نئے رینسم ویئر ویرینٹ کا پتہ لگایا جسے C++ میں لکھا گیا ہے اور اس میں ایسی تباہ کن صلاحیتیں شامل ہیں جو فائلوں کو ہمیشہ کے لئے حذف کر دیتی ہیں بجائے ان کے انکرپٹ کیے جانے کے۔ اس کے علاوہ یہ کلِپ بورڈ کے مواد میں تبدیلی کر کے بٹ کوائن ایڈریسز کو حملہ آور کے کنٹرول والے والیٹ سے بدل دیتا ہے تاکہ کرپٹو کرنسی ٹرانسفرز کو ری ڈائریکٹ کیا جا سکے۔
Fortinet نے کہا کہ یہ ڈبل حکمت عملی تباہ کن انکرپشن اور مالیاتی چوری کو یکجا کر کے زیادہ جارحانہ اور کثیرالجہتی خطرہ تخلیق کرتی ہے جس کا مقصد مالی فائدہ زیادہ سے زیادہ حاصل کرنا ہے۔
Chaos-C++ رینسم ویئر فائلوں کو صرف انکرپٹ کرنے کے بجائے 1.3 جی بی سے بڑی فائلوں کے مواد کو مستقل طور پر حذف کر دیتا ہے اور کلِپ بورڈ ہائی جیکنگ کے ذریعے کرپٹو کرنسی چوری کرتا ہے۔ یہ رینسم ویئر ڈاؤن لوڈر جعلی یوٹیلٹیز جیسے System Optimizer v2.1 کے بہانے صارفین کو فریب دے کر انسٹال کرواتا ہے۔ قابل ذکر بات یہ ہے کہ Chaos کے پچھلے ورژنز جیسے Lucky_Gh0$t کو OpenAI ChatGPT اور InVideo AI جیسے ساختوں کے نام سے پھیلا کر تقسیم کیا گیا تھا۔
جب یہ لانچ ہوتا ہے تو مَلویئر “%APPDATA%\READ_IT.txt” نامی فائل کی موجودگی چیک کرتا ہے۔ یہ فائل اس بات کی علامت ہے کہ رینسم ویئر پہلے ہی اس مشین پر چل چکا ہے۔ اگر فائل موجود ہو تو یہ مانیٹرنگ موڈ میں چلا جاتا ہے تاکہ سسٹم کلِپ بورڈ پر نظر رکھے۔
اگر فائل موجود نہ ہو تو Chaos-C++ چیک کرتا ہے کہ آیا یہ ایڈمنسٹریٹو مراعات کے ساتھ چل رہا ہے۔ اگر ہاں تو یہ سسٹم کی ریکوری کو روکنے کے لیے کمانڈز چلانے کے بعد انکرپشن کے عمل کو شروع کرتا ہے تاکہ وہ فائلیں جو 50 ایم بی سے کم ہیں مکمل طور پر انکرپٹ کر دی جائیں جبکہ 50 ایم بی سے 1.3 جی بی تک کی فائلوں کو چھوڑ دیا جاتا ہے، ممکنہ طور پر کارکردگی کی وجہ سے۔
Fortinet نے کہا کہ Chaos-C++ مکمل فائل انکرپشن پر ہی انحصار نہیں کرتا بلکہ سمِٹرک یا اسمیٹرک انکرپشن اور فیل بیک XOR روٹین جیسی مرکب تکنیکیں استعمال کرتا ہے۔ اس کا ورسٹائل ڈاؤن لوڈر بھی کامیاب اجرا کو یقینی بناتا ہے۔ یہ طریقے رینسم ویئر کے نفاذ کو زیادہ مضبوط اور مشکل سے روکے جانے کے قابل بناتے ہیں
سورس
https://thehackernews.com/2025/10/new-rust-based-malware-chaosbot-hijacks.html?m=1
