टेलीग्राम मैसेजिंग एप्लिकेशन के ट्रोजनाइज्ड इंस्टालर का उपयोग समझौता किए गए सिस्टम पर विंडोज-आधारित पर्पल फॉक्स बैकडोर को वितरित करने के लिए किया जा रहा है।

यह मिनर्वा लैब्स द्वारा प्रकाशित नए शोध के अनुसार, हमले को घुसपैठ से अलग बताता है जो आमतौर पर दुर्भावनापूर्ण पेलोड को छोड़ने के लिए वैध सॉफ़्टवेयर का लाभ उठाते हैं।

“यह खतरा अभिनेता हमले को कई छोटी फाइलों में अलग करके रडार के नीचे हमले के अधिकांश हिस्सों को छोड़ने में सक्षम था, जिनमें से अधिकांश में बहुत कम पता लगाने की दर थी [antivirus] इंजन, अंतिम चरण के साथ पर्पल फॉक्स रूटकिट संक्रमण की ओर ले जाता है,” शोधकर्ता नताली ज़रगारोव कहा.

पहली बार 2018 में खोजा गया, पर्पल फॉक्स रूटकिट क्षमताओं के साथ आता है जो मैलवेयर को सुरक्षा समाधानों की पहुंच से परे लगाए जाने और पहचान से बचने की अनुमति देता है। गार्डिकोर से मार्च 2021 की रिपोर्ट विस्तृत इसकी कृमि जैसी प्रसार सुविधा, पिछले दरवाजे को अधिक तेजी से फैलने में सक्षम बनाती है।

स्वचालित GitHub बैकअप

फिर अक्टूबर 2021 में ट्रेंड माइक्रो रिसर्चर्स खुला एक .NET इम्प्लांट जिसे फॉक्ससॉकेट कहा जाता है, पर्पल फॉक्स के संयोजन में तैनात किया गया है जो इसका लाभ उठाता है वेबसाकेट संचार स्थापित करने के अधिक सुरक्षित साधनों के लिए इसके कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करने के लिए।

शोधकर्ताओं ने कहा, “पर्पल फॉक्स की रूटकिट क्षमताएं इसे अपने उद्देश्यों को चुपके से पूरा करने में सक्षम बनाती हैं।” “वे पर्पल फॉक्स को प्रभावित प्रणालियों पर बने रहने के साथ-साथ प्रभावित प्रणालियों को और पेलोड वितरित करने की अनुमति देते हैं।”

अंतिम लेकिन कम से कम, दिसंबर 2021 में, ट्रेंड माइक्रो भी प्रकाश डाला पर्पल फॉक्स संक्रमण श्रृंखला के बाद के चरणों में, एक दुर्भावनापूर्ण SQL सामान्य भाषा रनटाइम सम्मिलित करके SQL डेटाबेस को लक्षित करना (सीएलआर) मॉड्यूल एक सतत और चुपके निष्पादन प्राप्त करने के लिए और अंततः अवैध क्रिप्टोकुरेंसी खनन के लिए SQL सर्वर का दुरुपयोग करता है।

डेटा उल्लंघनों को रोकें

मिनर्वा द्वारा देखी गई नई आक्रमण श्रृंखला एक टेलीग्राम इंस्टॉलर फ़ाइल के साथ शुरू होती है, एक AutoIt स्क्रिप्ट जो चैट ऐप के लिए एक वैध इंस्टॉलर और “TextInputh.exe” नामक एक दुर्भावनापूर्ण डाउनलोडर को छोड़ देती है, जिसके बाद वाले को अगले चरण के मैलवेयर को पुनः प्राप्त करने के लिए निष्पादित किया जाता है। C2 सर्वर।

इसके बाद, डाउनलोड की गई फ़ाइलें अंतिम चरण में आगे बढ़ने से पहले विभिन्न एंटीवायरस इंजनों से जुड़ी प्रक्रियाओं को अवरुद्ध करने के लिए आगे बढ़ती हैं, जिसके परिणामस्वरूप पर्पल फॉक्स रूटकिट को अब-बंद रिमोट सर्वर से डाउनलोड और निष्पादित किया जाता है।

जरगारोव ने कहा, “हमने बड़ी संख्या में दुर्भावनापूर्ण इंस्टॉलरों को एक ही हमले की श्रृंखला का उपयोग करके एक ही पर्पल फॉक्स रूटकिट संस्करण वितरित करते हुए पाया।” “ऐसा लगता है कि कुछ ईमेल के माध्यम से वितरित किए गए थे, जबकि अन्य हम मानते हैं कि फ़िशिंग वेबसाइटों से डाउनलोड किए गए थे। इस हमले की सुंदरता यह है कि प्रत्येक चरण को एक अलग फ़ाइल से अलग किया जाता है जो पूरे फ़ाइल सेट के बिना बेकार है।”

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here