सुरक्षा शोधकर्ता एक नए अभियान का अवलोकन कर रहे हैं जिसमें हमलावर Microsoft ई-हस्ताक्षर सत्यापन का दुरुपयोग करते हुए Zloader को तैनात करते हैं, जो उपयोगकर्ता क्रेडेंशियल और निजी जानकारी चोरी करने के लिए डिज़ाइन किया गया एक बैंकिंग मैलवेयर है।

चेक प्वाइंट रिसर्च टीम के अनुसार, इस अभियान को नवंबर 2021 की शुरुआत में देखा गया था, जिसने आज अपने निष्कर्षों का खुलासा किया। 2 जनवरी तक, उन्होंने कहा, दुनिया भर में 2,170 अद्वितीय पीड़ित आईपी ने दुर्भावनापूर्ण डीएलएल फ़ाइल डाउनलोड की थी। अधिकांश पीड़ित संयुक्त राज्य अमेरिका (864), कनाडा (305), और भारत (140) में स्थित हैं। इनमें से लगभग एक-तिहाई व्यवसाय हैं, एक छोटी राशि शिक्षा और सरकार से संबंधित है, और शेष व्यक्ति हैं।

Zloader मैलवेयर का कोई नया रूप नहीं है; इन अभियानों को पहले कई रूपों में जंगली में देखा गया है। शोधकर्ताओं ने कहा कि इससे पहले 2020 में देखे गए Zloader अभियानों में दुर्भावनापूर्ण फ़ाइलों, वयस्क वेबसाइटों और Google विज्ञापनों का उपयोग लक्ष्य प्रणालियों पर हमला करने के लिए किया गया था।

यहां, हमले के संचालक विशेष रूप से चोरी की तकनीकों पर ध्यान केंद्रित करते हैं। वे लक्ष्य मशीनों तक प्रारंभिक पहुंच प्राप्त करने के लिए वैध रिमोट मैनेजमेंट सॉफ़्टवेयर (आरएमएम) का उपयोग करते हैं और हस्ताक्षर की वैधता को बनाए रखते हुए फ़ाइल के हस्ताक्षर में कोड जोड़ते हैं, फिर इसे mshta.exe का उपयोग करके चलाते हैं।

“मेरे दृष्टिकोण से, नई और सबसे दिलचस्प बात यह है कि यह पहली बार है जब हमने नोटिस किया है [a] चेक प्वाइंट पर मैलवेयर शोधकर्ता कोबी ईसेनक्राफ्ट बताते हैं, “इस सबूत से पता चलता है कि ज़लोडर अभियान लेखकों ने रक्षा चोरी में बहुत प्रयास किया है।” ।”

एक लक्ष्य मशीन पर Atera सॉफ़्टवेयर स्थापित करने से संक्रमण शुरू होता है। Atera वैध उद्यम RMM सॉफ़्टवेयर है जो एक एजेंट को स्थापित कर सकता है और एक .msi फ़ाइल के साथ किसी विशेष खाते को समापन बिंदु असाइन कर सकता है जिसमें स्वामी का ईमेल पता शामिल है। हमलावरों ने एक अस्थायी ईमेल पते के साथ ऐसा किया, और डाउनलोड करने योग्य फ़ाइल जावा इंस्टॉलेशन के रूप में प्रच्छन्न है – एक विधि जो पहले के ज़लोडर अभियानों में देखी गई थी।

ईसेनक्राफ्ट का कहना है कि टीम अनिश्चित है कि कैसे हमलावर इस अभियान में पीड़ित उपकरणों पर अटेरा को तैनात करते हैं; हालांकि, पहले के ज़्लोडर अभियानों में, ऑपरेटरों ने एक वयस्क फिल्म का हिस्सा बनकर पीड़ितों को लुभाया। कुछ सेकंड के बाद, वीडियो बंद हो गया और एक संदेश कहेगा कि उनके जावा को अपडेट करने की आवश्यकता है। उन्हें “जावा” इंस्टॉलेशन डाउनलोड करने के लिए प्रेरित किया गया, जो कि एटेरा का एक परीक्षण संस्करण था, जिसने हमलावरों को मशीन पर फाइल भेजने और उन्हें चलाने में सक्षम बनाया, वे बताते हैं।

सॉफ़्टवेयर के मशीन पर होने के बाद, हमलावर “रन स्क्रिप्ट” फ़ंक्शन का उपयोग करके डिवाइस पर दो .bat फ़ाइलें अपलोड और चलाता है। एक का उपयोग विंडोज डिफेंडर वरीयताओं को संशोधित करने के लिए किया जाता है, और दूसरे का उपयोग शेष मैलवेयर को लोड करने के लिए किया जाता है। इस चरण में, स्क्रिप्ट विंडोज डिफेंडर में बहिष्करण जोड़ते हैं और उन उपकरणों को अक्षम कर देते हैं जिनका उपयोग पता लगाने और जांच के लिए किया जा सकता है।

स्क्रिप्ट तब चलती है mshta[.]ऐप कॉन्टैस्ट के साथ exe[.]dll पैरामीटर के रूप में। शोधकर्ताओं ने देखा कि इस फ़ाइल पर Microsoft द्वारा एक वैध हस्ताक्षर के साथ हस्ताक्षर किए गए थे, और दो फ़ाइलों की तुलना करके, उन्होंने देखा कि हमलावरों ने दुर्भावनापूर्ण DLL के लिए फ़ाइल में एक स्क्रिप्ट जोड़ी थी।

चेक प्वाइंट टीम ने एक में समझाया, “हस्ताक्षरित फ़ाइल में ये सरल संशोधन हस्ताक्षर की वैधता को बनाए रखते हैं, फिर भी हमें फ़ाइल के हस्ताक्षर अनुभाग में डेटा संलग्न करने में सक्षम बनाते हैं।” निष्कर्षों का तकनीकी लेखन. इस अभियान में, अतिरिक्त जानकारी हमलावरों को ज़्लोडर पेलोड को डाउनलोड करने और चलाने देती है।

यह सीवीई-2020-1599, सीवीई-2013-3900 और सीवीई-2012-0151 में उल्लिखित सुरक्षा अंतराल का परिणाम है।

Microsoft ने 2013 में हस्ताक्षर सत्यापन समस्या का समाधान किया सुरक्षा बुलेटिन और एक फिक्स धक्का दिया। हालांकि, इसने कहा कि इसे लागू करने के बाद उन्होंने “निर्धारित किया कि मौजूदा सॉफ़्टवेयर पर प्रभाव अधिक हो सकता है।” जुलाई 2014 में, उन्होंने ऑप्ट-इन अपडेट के लिए सख्त फ़ाइल सत्यापन की अदला-बदली की, टीम ने लिखा। जब तक किसी ने पैच को मैन्युअल रूप से स्थापित नहीं किया, वे सुरक्षित नहीं थे। कई सुरक्षा विक्रेता दुर्भावनापूर्ण हस्ताक्षरित फ़ाइल को चलने देंगे क्योंकि इसमें Microsoft का एक वैध डिजिटल हस्ताक्षर है, Eisenkraft बताते हैं।

मालस्मोक
ईसेनक्राफ्ट का कहना है कि ऐसा नहीं लगता कि हमलावर किसी विशिष्ट प्रकार के डेटा के पीछे थे; ज्यादातर पासवर्ड और संवेदनशील जानकारी से समझौता किया गया था।

चेक प्वाइंट नवंबर अभियान का श्रेय मालस्मोक को देता है। यह पहली बार है जब शोधकर्ताओं ने समूह को माइक्रोसॉफ्ट डिजिटल हस्ताक्षरों का दुरुपयोग करते हुए देखा है, ईसेनक्राफ्ट कहते हैं, लेकिन उन्होंने पहले के मालस्मोक अभियानों में समानताएं देखीं। इसके पिछले हमलों को मैलवेयर को जावा प्लग-इन के रूप में छिपाने के लिए जाना जाता था, जो वे कहते हैं कि इस मामले में हो रहा है।

डोमेन टीमवर्क्स455 . के लिए रजिस्ट्रार की जानकारी के बीच एक संबंध भी है[.]कॉम, जहां वर्तमान अभियान फाइलें होस्ट की जाती हैं, और एक अन्य डोमेन एक अलग 2020 मालस्मोक अभियान से जुड़ा हुआ है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here