Gh0st RAT va CloverPlus orqali yangi malware hujumi aniqlandi | CyberNewsUz

⚠️ Yangi kiberhujumda ikki xil zararli dastur birga ishlatilmoqda 😳 biri tizimni to‘liq nazorat qiladi, boshqasi esa pul ishlaydi — qanday ishlaydi? 👇

Kiberjinoyatchilar hujumlarini yanada samaraliroq qilish uchun endi bir vaqtning o‘zida bir nechta zararli dasturlardan foydalanmoqda. Splunk Threat Research Team (STRT) tomonidan aniqlangan yangi kampaniya aynan shunday yondashuvni qo‘llaydi.

Ushbu hujumda maxsus loader yordamida ikki xil tahdid bir vaqtning o‘zida qurilmaga yuklanadi: Gh0st RAT va CloverPlus adware. Bu kombinatsiya xakerlarga ikki xil foyda beradi — tizim ustidan to‘liq nazorat va darhol moliyaviy daromad.

"Gh0st RAT hujumchiga qurilmani to‘liq boshqarish imkonini bersa, CloverPlus foydalanuvchi brauzerini o‘zgartirib, reklama orqali daromad keltiradi"

Gh0st RAT uzoq yillardan beri ishlatiladigan va ishonchli backdoor sifatida tanilgan. U tizimda yashirin ishlaydi, aniqlanishdan qochadi va doimiy kirish imkonini saqlab qoladi. CloverPlus esa foydalanuvchi uchun sezilarli noqulaylik tug‘diradi — brauzerni o‘zgartiradi, pop-up reklamalar chiqaradi va trafikni monetizatsiya qiladi.

⚙️ Hujum qanday ishlaydi?

Hujumning boshlanishi murakkab tarzda yashirilgan loader orqali amalga oshiriladi. Ushbu loader ichida ikkita shifrlangan payload yashiringan bo‘ladi.

Birinchi bosqichda CloverPlus ishga tushadi va brauzer sozlamalarini o‘zgartirishni boshlaydi.

Shundan so‘ng loader o‘zini tekshiradi va agar kerak bo‘lsa, tizimga yana nusxa ko‘chiradi. Keyin esa asosiy tahdid — Gh0st RAT’ni ishga tushiradi.

The Decryption and Execution of Gh0st RAT Payload (Source: splunk)

Gh0st RAT maxsus .DLL fayl sifatida yashiriladi va Windows’ning rundll32.exe orqali ishga tushiriladi.

"Malware o‘zini oddiy Windows jarayoni sifatida ko‘rsatib, xavfsizlik tizimlarini aldashga harakat qiladi"

🔐 Doimiy kirish va kuzatuv

Gh0st RAT tizimda uzoq vaqt qolish uchun bir nechta persistence mexanizmlaridan foydalanadi. U Windows registry orqali avtomatik ishga tushadi va xizmat sifatida ishlashi mumkin.

Eng xavfli jihatlaridan biri — keylogging funksiyasi. Malware foydalanuvchi yozayotgan barcha tugmalarni yozib boradi.

"Bu orqali xakerlar login-parollar, bank ma’lumotlari va boshqa maxfiy axborotlarni osonlik bilan qo‘lga kiritadi"

Shuningdek, u RDP sessiyalarni kuzatib boradi va tarmoq ichida boshqa qurilmalarga ham o‘tishga harakat qiladi.

⚠️ Nega bu hujum xavfli?

Bu kampaniya oddiy malware emas. U ikki xil maqsadni birlashtiradi: tizimni egallash va darhol daromad olish.

"Bir vaqtning o‘zida ham tizim nazoratga olinadi, ham foydalanuvchi ustidan pul ishlanadi — bu esa hujumni yanada xavfli qiladi"

🛡️ Himoya choralar

Mutaxassislar quyidagilarni tavsiya qilmoqda:

Shubhali rundll32.exe jarayonlarini monitoring qilish
%temp% papkadan ishga tushayotgan fayllarni tekshirish
Registry o‘zgarishlarini kuzatish
RDP faoliyatini nazorat qilish

🚨 Yangi malware kampaniyasi: Gh0st RAT va CloverPlus birga hujum qilmoqda

⚙️ Hujum qanday ishlaydi?

🔐 Doimiy kirish va kuzatuv

⚠️ Nega bu hujum xavfli?

🛡️ Himoya choralar

Ko'proq: Hujumlar

Hackerlar Lotus Wiper bilan hujum qildi — Energiya tizimlari butunlay yo‘q qilindi

🚨 NGate malware yangi versiyasi: AI orqali NFC to‘lov ilovalari sifatida yashirinmoqda

🚨 Vercel’da data breach: xakerlar ichki tizimlarga kirib, ma’lumotlarni $2 mln ga sotmoqchi

🚨 $13.7 mlnlik xakerlik hujumi Grinex kripto birjasini yopishga majbur qildi

🚨 Xakerlar Isroil suv inshootlariga hujum qildi: ZionSiphon xavfli malware qo'llashmoqda.

🚨 Xakerlar yuk tashish kompaniyalariga hujum qilmoqda: millionlab yuklar o‘g‘irlanmoqda

🚨 Xakerlar botnetni ochiq qoldirdi: root parollar va to‘liq nazorat oshkor bo‘ldi.

🚨 5 000+ sanoat qurilmalari internetda ochiq: Eron APT xakerlari hujumni kuchaytirdi.