ஐரோப்பிய நாடுகளில் உள்ள ஹோட்டல் நிறுவனங்களை குறிவைத்து, புதிய வகை சைபர் தாக்குதல் ஒன்று நடப்பதாக பாதுகாப்பு ஆய்வாளர்கள் எச்சரிக்கை விடுத்துள்ளனர்.
இந்த தாக்குதலுக்கு PHALT#BLYX என்று பெயர் சூட்டப்பட்டுள்ளது.
இந்த தாக்குதலின் முக்கிய நோக்கம், DCRat எனப்படும் ஆபத்தான Remote Access Trojan (RAT) வைரஸை கம்ப்யூட்டர்களில் நிறுவுவதாகும்.
இந்த நடவடிக்கை கடந்த 2025 டிசம்பர் மாத இறுதியில் கண்டறியப்பட்டது.
தாக்குதலின் முதல் கட்டமாக, Booking.com நிறுவனத்தைப் போல உருவாக்கப்பட்ட போலி மெயில்கள் ஹோட்டல் ஊழியர்களுக்கு அனுப்பப்படுகின்றன.
அந்த மெயில்களில், “உங்கள் ஹோட்டல் அறை முன்பதிவு திடீரென ரத்து செய்யப்பட்டுள்ளது” எனக் குறிப்பிடப்பட்டு, அதை உறுதி செய்ய ஒரு லிங்கை கிளிக் செய்யுமாறு கேட்டுக்கொள்ளப்படுகிறது.
அந்த லிங்கை கிளிக் செய்தவுடன், Booking.com போலவே தோற்றமளிக்கும் போலி இணையதளம் திறக்கப்படுகிறது.
அதில் முதலில் போலி CAPTCHA காட்டப்பட்டு, பின்னர் Blue Screen of Death (BSoD) எனப்படும் கம்ப்யூட்டர் கோளாறு திரை போல ஒரு போலி பக்கம் காட்டப்படுகிறது.
அந்த பக்கத்தில், “கோளாறை சரி செய்ய” என்ற பெயரில், Windows Run திறந்து ஒரு கட்டளையை copy–paste செய்து Enter அழுத்துமாறு அறிவுறுத்தப்படுகிறது.
உண்மையில், இந்த நடவடிக்கை மூலம் PowerShell என்ற Windows கருவி பயன்படுத்தப்பட்டு, v.proj என்ற கோப்பு இணையதளத்திலிருந்து பதிவிறக்கம் செய்யப்படுகிறது. அது MSBuild.exe என்ற Windows-ல் உள்ள நம்பகமான மென்பொருள் மூலம் இயக்கப்படுகிறது.
இந்த செயல்முறையின் மூலம்,
- Windows Defender பாதுகாப்பு அமைப்புகள் மாற்றப்படுகின்றன
- வைரஸ் கணினி தொடங்கும்போதே இயங்கும் வகையில் அமைக்கப்படுகிறது
- இறுதியாக DCRat வைரஸ் நிறுவப்படுகிறது
நிர்வாக அனுமதி (Administrator Access) கிடைத்தால், வைரஸ் முழுமையாக பாதுகாப்பு மென்பொருளை நிறுத்துகிறது.
அனுமதி கிடைக்காவிட்டால், அடிக்கடி UAC அனுமதி கேட்கும் popup காட்டி, பயனர் ஒப்புதல் அளிக்க வற்புறுத்துகிறது.
இதற்கிடையில், உண்மையான Booking.com நிர்வாக இணையப்பக்கம் தானாக திறக்கப்பட்டு, பயனர் சந்தேகம் கொள்ளாமல் இருக்க கவனத்தை திருப்புகிறது.
DCRat என்ன செய்யும்?
DCRat (DarkCrystal RAT) என்பது,
- ரகசிய தகவல்களை திருடும்
- கீபோர்டு பதிவுகளைப் பதிவு செய்யும்
- கணினியை முழுமையாக ஹேக்கர்களின் கட்டுப்பாட்டில் கொண்டு வரும்
- கூடுதல் வைரஸ்கள் மற்றும் கிரிப்டோ மைனிங் மென்பொருள்களை நிறுவும்
இந்த போலி மெயில்களில் யூரோ மதிப்பிலான அறை கட்டண விவரங்கள் இடம்பெற்றுள்ளதால், இந்த தாக்குதல் குறிப்பாக ஐரோப்பிய ஹோட்டல் நிறுவனங்களை குறிவைத்துள்ளது என பாதுகாப்பு நிறுவனம் Securonix தெரிவித்துள்ளது.
மேலும், தாக்குதலில் பயன்படுத்தப்பட்ட கோப்புகளில் ரஷ்ய மொழி காணப்பட்டதால், ரஷ்ய ஹேக்கிங் குழுக்களுடன் தொடர்பு இருக்கலாம் என சந்தேகம் தெரிவிக்கப்பட்டுள்ளது.
Windows-ல் உள்ள நம்பகமான system tools-ஐயே ஹேக்கிங்கிற்கு பயன்படுத்தும் இந்த முறை, இன்றைய endpoint security அமைப்புகளைத் தவிர்க்கும் ஹேக்கர்களின் புதிய நுட்பத்தை வெளிப்படுத்துகிறது என நிபுணர்கள் எச்சரித்துள்ளனர்
[youtube-feed feed=1]