चल रहा ज़्लोडर मैलवेयर अभियान को रिमोट मॉनिटरिंग टूल्स का शोषण करते हुए उजागर किया गया है और उपयोगकर्ता क्रेडेंशियल्स और संवेदनशील जानकारी को साइफन करने के लिए माइक्रोसॉफ्ट के डिजिटल हस्ताक्षर सत्यापन से संबंधित नौ साल पुरानी खामी है।

इजरायल की साइबर सुरक्षा कंपनी चेक प्वाइंट रिसर्च, जो नवंबर 2021 से परिष्कृत संक्रमण श्रृंखला पर नज़र रख रही है, ने इसे एक साइबर अपराधी समूह के लिए जिम्मेदार ठहराया, जिसे डब किया गया था। मालस्मोक, पिछले हमलों के साथ समानता का हवाला देते हुए।

“संक्रमण श्रृंखला में शामिल तकनीकों में लक्ष्य मशीन तक प्रारंभिक पहुंच प्राप्त करने के लिए वैध रिमोट मैनेजमेंट सॉफ्टवेयर (आरएमएम) का उपयोग शामिल है,” चेक प्वाइंट के गोलन कोहेन ने एक में कहा रिपोर्ट good द हैकर न्यूज के साथ साझा किया। “मैलवेयर तब सिस्टम की सुरक्षा से बचने के लिए अपने पेलोड को एक हस्ताक्षरित सिस्टम डीएलएल में इंजेक्ट करने के लिए माइक्रोसॉफ्ट की डिजिटल हस्ताक्षर सत्यापन विधि का फायदा उठाता है।”

स्वचालित GitHub बैकअप

कहा जाता है कि इस अभियान ने 2 जनवरी, 2022 तक 111 देशों में 2,170 पीड़ितों का दावा किया है, जिनमें से अधिकांश अमेरिका, कनाडा, भारत, इंडोनेशिया और ऑस्ट्रेलिया में स्थित हैं। यह इस तथ्य के लिए भी उल्लेखनीय है कि यह खोज और विश्लेषण से बचने के लिए खुद को अस्पष्टता और अन्य पता लगाने-चोरी के तरीकों की परतों में लपेटता है।

हमले का प्रवाह Atera नामक एक वैध उद्यम रिमोट मॉनिटरिंग सॉफ़्टवेयर की स्थापना के साथ शुरू होता है, इसका उपयोग मनमानी फ़ाइलों को अपलोड और डाउनलोड करने के साथ-साथ दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित करने के लिए करता है। हालाँकि, इंस्टॉलर फ़ाइल को वितरित करने का सटीक तरीका अभी तक अज्ञात है।

फ़ाइलों में से एक का उपयोग विंडोज डिफेंडर में बहिष्करण जोड़ने के लिए किया जाता है, जबकि दूसरी फ़ाइल अगले चरण के पेलोड को पुनः प्राप्त करने और निष्पादित करने के लिए आगे बढ़ती है, जिसमें “appContast.dll” नामक एक डीएलएल फ़ाइल भी शामिल है, जो बदले में, ZLoader बाइनरी चलाने के लिए उपयोग की जाती है ( “9092.dll”)।

यहां सबसे खास बात यह है कि appContast.dll न केवल Microsoft द्वारा एक वैध हस्ताक्षर के साथ हस्ताक्षरित है, बल्कि यह भी है कि फ़ाइल, मूल रूप से एक ऐप रिज़ॉल्वर मॉड्यूल (“AppResolver.dll”), को संशोधित किया गया है और लोड करने के लिए एक दुर्भावनापूर्ण स्क्रिप्ट के साथ इंजेक्ट किया गया है। अंतिम चरण का मैलवेयर।

यह एक ज्ञात समस्या का उपयोग करके संभव बनाया गया है जिसे ट्रैक किया गया है सीवीई-2013-3900 – एक WinVerifyTrust हस्ताक्षर सत्यापन भेद्यता – जो दूरस्थ हमलावरों को फ़ाइल हस्ताक्षर की वैधता को बनाए रखते हुए दुर्भावनापूर्ण कोड स्निपेट को जोड़कर विशेष रूप से तैयार किए गए पोर्टेबल निष्पादन योग्य के माध्यम से मनमाने कोड को निष्पादित करने की अनुमति देता है।

डेटा उल्लंघनों को रोकें

हालाँकि Microsoft ने 2013 में बग को संबोधित किया, कंपनी संशोधित जुलाई 2014 में इसकी योजना अब “माइक्रोसॉफ्ट विंडोज के समर्थित रिलीज पर एक डिफ़ॉल्ट कार्यक्षमता के रूप में सख्त सत्यापन व्यवहार को लागू करने के लिए” नहीं है और इसे एक ऑप्ट-इन सुविधा के रूप में उपलब्ध कराया गया है। “दूसरे शब्दों में, यह फिक्स डिफ़ॉल्ट रूप से अक्षम है, जो कि मैलवेयर लेखक को हस्ताक्षरित फ़ाइल को संशोधित करने में सक्षम बनाता है,” कोहेन ने कहा।

“ऐसा लगता है कि ZLoader अभियान के लेखकों ने रक्षा चोरी में बहुत प्रयास किया है और अभी भी साप्ताहिक आधार पर अपने तरीकों को अपडेट कर रहे हैं,” चेक प्वाइंट मैलवेयर शोधकर्ता, कोबी ईसेनक्राफ्ट ने कहा, उपयोगकर्ताओं से अज्ञात स्रोतों से सॉफ़्टवेयर स्थापित करने से परहेज करने और Microsoft के सख्त नियमों को लागू करने का आग्रह किया। विंडोज ऑथेंटिकोड हस्ताक्षर सत्यापन निष्पादन योग्य फ़ाइलों के लिए।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here