साइबर सुरक्षा शोधकर्ताओं ने उस तंत्र को डिकोड किया है जिसके द्वारा बहुमुखी Qakbot बैंकिंग ट्रोजन एन्क्रिप्टेड कॉन्फ़िगरेशन डेटा को सम्मिलित करता है। विंडोज रजिस्ट्री.

Qakbot, जिसे QBot, QuackBot और Pinkslipbot के नाम से भी जाना जाता है, देखे गए जंगल में 2007 के बाद से। हालांकि मुख्य रूप से सूचना-चोरी करने वाले मैलवेयर के रूप में, काकबोट ने अपने लक्ष्यों को स्थानांतरित कर दिया है और संक्रमित मशीनों पर रैंसमवेयर लोड करने के अंतिम उद्देश्य के साथ कोबाल्ट स्ट्राइक बीकन जैसे पोस्ट-कॉम्प्रोमाइज अटैक प्लेटफॉर्म को वितरित करने के लिए नई कार्यक्षमता हासिल की है।

स्वचालित GitHub बैकअप

ट्रस्टवेव के शोधकर्ता लॉयड मैक्रोहोन और रोडेल मेंड्रेज़ ने द हैकर न्यूज के साथ साझा की गई एक रिपोर्ट में कहा, “इसे लगातार विकसित किया गया है, जिसमें पार्श्व आंदोलन, ईमेल और ब्राउज़र डेटा को बाहर निकालने की क्षमता और अतिरिक्त मैलवेयर स्थापित करने की क्षमता शामिल है।”

हाल के महीनों में, फ़िशिंग अभियानों का समापन a . के वितरण में हुआ है नया लोडर बुलाया गिलहरीWA, जो कोबाल्ट स्ट्राइक और QBot जैसे अंतिम चरण के पेलोड को पुनः प्राप्त करने के लिए एक चैनल के रूप में कार्य करता है।

काकबॉट के नए संस्करणों ने ईमेल और ब्राउज़र डेटा को हाईजैक करने की क्षमता हासिल कर ली है और साथ ही रजिस्ट्री में मैलवेयर से संबंधित एन्क्रिप्टेड कॉन्फ़िगरेशन जानकारी डालने की क्षमता हासिल कर ली है, क्योंकि डिस्क पर एक फ़ाइल में उन्हें लिखने के विरोध में इसका कोई निशान नहीं छोड़ने का प्रयास किया गया है। संक्रमण।

“जबकि QakBot पूरी तरह से फ़ाइल रहित नहीं हो रहा है, इसकी नई रणनीति निश्चित रूप से इसकी पहचान को कम करेगी,” Hornetsecurity शोधकर्ताओं बताया दिसंबर 2020 में।

डेटा उल्लंघनों को रोकें

मैलवेयर में ट्रस्टवेव के विश्लेषण का उद्देश्य इस प्रक्रिया को रिवर्स इंजीनियर करना और रजिस्ट्री कुंजी में संग्रहीत कॉन्फ़िगरेशन को डिक्रिप्ट करना है, साइबर सुरक्षा कंपनी ने नोट किया है कि रजिस्ट्री कुंजी मान डेटा को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली कुंजी कंप्यूटर नाम, वॉल्यूम सीरियल नंबर के संयोजन से ली गई है। और उपयोगकर्ता खाता नाम, जिसे बाद में एक-बाइट पहचानकर्ता (आईडी) के साथ हैश और नमकीन किया जाता है।

“द SHA1 हैश परिणाम का उपयोग आईडी से संबंधित रजिस्ट्री कुंजी मान डेटा को डिक्रिप्ट करने के लिए व्युत्पन्न कुंजी के रूप में किया जाएगा आरसी4 एल्गोरिथम, “शोधकर्ताओं ने कहा, उपलब्ध कराने के अलावा a पायथन-आधारित डिक्रिप्टर उपयोगिता जिसका उपयोग रजिस्ट्री से कॉन्फ़िगरेशन निकालने के लिए किया जा सकता है।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here